# IOMT医疗物联网网络流量数据集分析报告

## 324万条IOMT医疗物联网网络流量数据集分析报告 - 包含9种攻击类型(TCP/UDP/ICMP协议)与完整特征字段 - 适用于网络安全入侵检测、异常行为分析与机器学习模型训练

## 引言与背景

在全球数字化转型的浪潮中，医疗物联网（Internet of Medical Things, IOMT）作为医疗健康领域的重要技术创新，正以前所未有的速度改变着医疗服务模式。IOMT设备通过网络连接实现远程监测、实时数据传输和智能化医疗服务，为患者提供了更便捷、高效的医疗体验。然而，随着IOMT设备数量的激增和应用场景的扩展，其网络安全问题也日益凸显。医疗设备直接关系到患者的生命安全，一旦遭受网络攻击，可能导致设备故障、数据泄露甚至危及患者生命。因此，加强IOMT网络安全研究与防护至关重要。

本数据集包含了324万条IOMT医疗物联网网络流量记录，涵盖了正常流量和多种攻击类型的网络行为数据。数据集提供了完整的网络流量特征字段，包括源IP地址、目标IP地址、端口号、协议类型、连接状态、数据包大小、传输速率等102个详细特征。这些数据不仅包含了原始的网络流量信息，还提供了经过标注的攻击类型标签，为研究人员和开发者提供了丰富的分析素材。

该数据集对于IOMT网络安全领域具有重要的研究价值和应用价值。首先，它为网络安全研究人员提供了真实的IOMT网络流量数据，有助于深入了解医疗物联网环境下的网络攻击特征和行为模式。其次，数据集包含的丰富特征字段和准确的标注信息，为机器学习模型的训练和评估提供了理想的基础数据。此外，该数据集还可用于开发和测试网络入侵检测系统（IDS）、异常行为分析工具等安全防护产品，为实际医疗环境中的IOMT设备提供更有效的安全保障。

## 数据基本信息

### 数据字段说明

本数据集包含102个字段，涵盖了网络流量的各个维度信息。以下是部分核心字段的详细说明：

| 字段名称 | 字段类型 | 字段含义 | 数据示例 | 完整性 |
|---------|---------|---------|---------|-------|
| id.orig_h | 字符串 | 源IP地址 | 10.10.10.252 | 100% |
| id.orig_p | 整数 | 源端口号 | 48256 | 100% |
| id.resp_h | 字符串 | 目标IP地址 | 10.10.10.249 | 100% |
| id.resp_p | 整数 | 目标端口号 | 80 | 100% |
| proto | 字符串 | 协议类型 | tcp | 100% |
| service | 字符串 | 服务类型 | - | 100% |
| duration | 浮点数 | 连接持续时间（秒） | 0.024381 | 100% |
| orig_bytes | 数值 | 源发送字节数 | 13236 | 100% |
| resp_bytes | 数值 | 目标响应字节数 | 0 | 100% |
| conn_state | 字符串 | 连接状态 | S0 | 100% |
| traffic | 字符串 | 流量类型（攻击类型/正常） | apachekiller | 100% |
| is_attack | 整数 | 是否为攻击（1:是，0:否） | 1 | 100% |
| flow_duration | 浮点数 | 流持续时间（微秒） | 0.025132 | 100% |
| fwd_pkts_tot | 整数 | 前向数据包总数 | 5 | 100% |
| bwd_pkts_tot | 整数 | 反向数据包总数 | 5 | 100% |
| fwd_bytes | 数值 | 前向字节数 | 13111.0 | 100% |
| bwd_bytes | 数值 | 反向字节数 | 152.0 | 100% |
| payload_bytes_per_second | 浮点数 | 每秒有效负载字节数 | 527729.802603 | 100% |
| flow_iat.min | 浮点数 | 流中数据包最小间隔时间 | 10.01358 | 100% |
| flow_iat.max | 浮点数 | 流中数据包最大间隔时间 | 19934.892654 | 100% |

### 数据分布情况

#### 攻击类型分布

数据集包含9种不同类型的网络流量，其中8种为攻击类型，1种为正常流量。各类流量的分布情况如下：

| 流量类型 | 记录数量 | 占比 | 累计占比 |
|---------|---------|-----|---------|
| camoverflow | 1640039 | 50.57% | 50.57% |
| normal | 766915 | 23.65% | 74.22% |
| netscan | 467093 | 14.40% | 88.62% |
| rudeadyet | 131081 | 4.04% | 92.66% |
| apachekiller | 84579 | 2.61% | 95.27% |
| mqttmalaria | 69623 | 2.15% | 97.42% |
| slowloris | 63608 | 1.96% | 99.38% |
| arpspoofing | 11236 | 0.35% | 99.73% |
| slowread | 9014 | 0.28% | 100.00% |

#### 协议类型分布

数据集涵盖了三种主要的网络协议：TCP、UDP和ICMP，分布情况如下：

| 协议类型 | 记录数量 | 占比 |
|---------|---------|-----|
| tcp | 2949087 | 90.93% |
| udp | 294048 | 9.07% |
| icmp | 53 | 0.00% |

#### 是否为攻击分布

数据集中攻击流量与正常流量的比例约为3.23:1，具体分布如下：

| 是否为攻击 | 记录数量 | 占比 |
|-----------|---------|-----|
| 1（是） | 2476273 | 76.35% |
| 0（否） | 766915 | 23.65% |

#### 连接状态分布

数据集包含多种TCP连接状态，其中主要状态的分布情况如下：

| 连接状态 | 记录数量 | 占比 |
|---------|---------|-----|
| OTH | 2254503 | 69.51% |
| REJ | 465000 | 14.34% |
| S0 | 367055 | 11.32% |
| SH | 145633 | 4.49% |
| SHR | 6608 | 0.20% |
| RSTR | 3543 | 0.11% |
| RSTOS0 | 722 | 0.02% |
| RSTRH | 114 | 0.00% |
| SF | 9 | 0.00% |
| S1 | 1 | 0.00% |

## 数据优势

本数据集具有以下显著优势，使其成为IOMT网络安全研究和应用的理想选择：

| 优势特征 | 具体表现 | 应用价值 |
|---------|---------|---------|
| 数据规模庞大 | 包含324万条网络流量记录，覆盖多种场景 | 提供足够的样本量，确保模型训练的准确性和泛化能力 |
| 攻击类型丰富 | 涵盖9种不同类型的网络流量，包括8种攻击类型和1种正常流量 | 支持多类型攻击检测和异常行为分析，满足复杂场景需求 |
| 特征字段全面 | 包含102个详细的网络流量特征字段，涵盖流量的各个维度 | 提供丰富的特征信息，支持深度分析和复杂模型构建 |
| 协议类型多样 | 支持TCP、UDP和ICMP三种主要网络协议 | 适用于不同协议环境下的安全分析和防护 |
| 数据质量高 | 数据完整性好，无缺失值，标注准确 | 确保分析结果的可靠性和模型训练的有效性 |
| 标记明确 | 每条记录都明确标记了流量类型和是否为攻击 | 便于监督学习模型的训练和评估 |
| 连接状态完整 | 包含多种TCP连接状态，反映真实网络环境 | 支持基于连接状态的异常检测和分析 |
| 应用场景广泛 | 适用于IOMT网络安全的多种研究和应用场景 | 满足不同研究和应用需求，具有较高的实用价值 |

## 数据样例

以下是从数据集中随机抽取的18条样例记录，涵盖了所有9种流量类型，展示了数据集的多样性特征：

| id.orig_h | id.orig_p | id.resp_h | id.resp_p | proto | service | duration | orig_bytes | resp_bytes | conn_state | traffic | is_attack |
|----------|----------|----------|----------|-------|---------|---------|-----------|-----------|-----------|---------|-----------|
| 10.10.10.252 | 45636 | 10.10.10.249 | 80 | tcp | - | 0.062312 | 13236 | 0 | SH | apachekiller | 1 |
| 10.10.10.252 | 33262 | 10.10.10.249 | 80 | tcp | - | 0.024452 | 13236 | 0 | S0 | apachekiller | 1 |
| 10.10.10.252 | 35366 | 10.10.10.248 | 80 | tcp | - | 0.000000 | 0 | 0 | S0 | arpspoofing | 1 |
| 10.10.10.252 | 34043 | 10.10.10.248 | 80 | tcp | - | 0.000000 | 0 | 0 | S0 | arpspoofing | 1 |
| 165.111.132.54 | 18295 | 10.10.10.247 | 5683 | udp | - | 0.000000 | 0 | 0 | OTH | camoverflow | 1 |
| 31.70.26.19 | 49059 | 10.10.10.247 | 5683 | udp | - | 0.000000 | 0 | 0 | OTH | camoverflow | 1 |
| 10.10.10.252 | 38377 | 10.10.10.247 | 1883 | tcp | - | 2.001257 | 384 | 188 | S0 | mqttmalaria | 1 |
| 10.10.10.252 | 37713 | 10.10.10.247 | 1883 | tcp | - | 2.002210 | 384 | 188 | S0 | mqttmalaria | 1 |
| 10.10.10.252 | 33234 | 10.10.10.249 | 7547 | udp | - | 0.000000 | 0 | 0 | OTH | netscan | 1 |
| 10.10.10.252 | 41204 | 10.10.10.248 | 7547 | udp | - | 0.000000 | 0 | 0 | OTH | netscan | 1 |
| 10.10.10.247 | 5683 | 192.168.1.1 | 5683 | udp | - | 0.000000 | 0 | 0 | OTH | normal | 0 |
| 10.10.10.247 | 5683 | 192.168.1.1 | 5683 | udp | - | 0.000000 | 0 | 0 | OTH | normal | 0 |
| 10.10.10.252 | 43960 | 10.10.10.247 | 1883 | tcp | - | 0.000329 | 0 | 0 | S0 | rudeadyet | 1 |
| 10.10.10.252 | 41640 | 10.10.10.247 | 1883 | tcp | - | 0.000331 | 0 | 0 | S0 | rudeadyet | 1 |
| 10.10.10.252 | 60152 | 10.10.10.249 | 80 | tcp | - | 0.001836 | 0 | 0 | S0 | slowloris | 1 |
| 10.10.10.252 | 59954 | 10.10.10.249 | 80 | tcp | - | 0.001785 | 0 | 0 | S0 | slowloris | 1 |
| 10.10.10.252 | 56416 | 10.10.10.249 | 80 | tcp | - | 0.000000 | 0 | 0 | S0 | slowread | 1 |
| 10.10.10.252 | 42032 | 10.10.10.249 | 80 | tcp | - | 0.000000 | 0 | 0 | S0 | slowread | 1 |

## 应用场景

### 1. IOMT网络安全入侵检测系统（IDS）开发

随着IOMT设备在医疗环境中的广泛应用，网络安全威胁日益增多。利用本数据集可以开发专门针对IOMT环境的网络入侵检测系统（IDS）。系统可以通过分析网络流量的特征字段，如连接持续时间、数据包大小、传输速率、连接状态等，识别异常的网络行为和潜在的攻击。

具体应用方式包括：首先，利用数据集中的标记数据训练机器学习模型，使模型能够区分正常流量和攻击流量；其次，提取网络流量的关键特征，如流量持续时间、数据包数量、字节数、连接状态等，作为模型的输入；然后，部署训练好的模型到实际的IOMT网络环境中，实时监测网络流量；最后，当检测到异常流量时，系统及时发出警报并采取相应的防护措施。

这种IDS系统可以有效保护IOMT设备免受网络攻击，确保医疗设备的正常运行和患者数据的安全。例如，当检测到"apachekiller"等DDoS攻击时，系统可以立即切断异常连接，防止攻击扩散；当检测到"netscan"等扫描行为时，可以识别潜在的攻击者并采取防御措施。

### 2. 医疗物联网异常行为分析与预测

除了入侵检测，本数据集还可用于IOMT网络的异常行为分析与预测。通过对历史网络流量数据的分析，可以建立正常流量的基线模型，识别偏离基线的异常行为。

具体应用方式包括：首先，利用数据集中的正常流量数据建立基线模型，描述正常网络行为的特征和模式；其次，对实时网络流量进行监测，将其与基线模型进行比较；然后，当发现流量特征偏离基线超过一定阈值时，判定为异常行为；最后，根据异常行为的特征和历史数据，预测可能的安全威胁。

这种异常行为分析与预测系统可以帮助医疗机构提前发现潜在的安全隐患，采取预防措施，降低安全事件的发生概率。例如，通过分析流量的持续时间、数据包间隔时间等特征，可以识别出"slowloris"等慢速攻击的早期迹象；通过分析流量的源IP地址、目标IP地址等特征，可以识别出异常的通信模式。

### 3. 机器学习模型训练与评估

本数据集包含丰富的特征字段和准确的标注信息，是训练和评估机器学习模型的理想选择。研究人员和开发者可以利用这些数据训练各种类型的机器学习模型，如分类模型、聚类模型、异常检测模型等，用于IOMT网络安全分析。

具体应用方式包括：首先，对数据进行预处理，如特征选择、归一化、平衡处理等，提高模型的性能；其次，选择合适的机器学习算法，如随机森林、支持向量机、深度学习等，训练分类或异常检测模型；然后，使用交叉验证等方法评估模型的性能，如准确率、召回率、F1-score等；最后，根据评估结果优化模型参数，提高模型的性能和泛化能力。

通过这种方式，可以开发出性能优异的机器学习模型，用于IOMT网络安全分析。例如，使用随机森林模型可以有效识别不同类型的网络攻击；使用深度学习模型可以自动提取复杂的流量特征，提高检测的准确率和效率。

### 4. 医疗物联网安全策略制定与优化

基于对数据集的深入分析，可以帮助医疗机构制定和优化IOMT网络安全策略。通过了解不同攻击类型的特征和行为模式，可以针对性地制定防护措施，提高网络的安全性。

具体应用方式包括：首先，分析不同攻击类型的特征和行为模式，如攻击使用的协议、端口、数据包大小等；其次，根据分析结果制定相应的安全策略，如防火墙规则、入侵检测规则等；然后，部署这些安全策略到实际的网络环境中，监测其效果；最后，根据实际运行情况和新的攻击类型，不断优化安全策略。

这种基于数据驱动的安全策略制定方法，可以提高安全防护的针对性和有效性。例如，针对"camoverflow"等UDP攻击，可以设置相应的流量阈值，限制异常流量；针对"slowread"等TCP攻击，可以调整TCP连接超时时间，防止资源耗尽。

### 5. 网络安全研究与教育

本数据集还可用于网络安全领域的研究和教育。研究人员可以利用这些数据深入研究IOMT网络环境下的攻击特征和防御方法，推动网络安全技术的发展；教育机构可以将这些数据用于教学和实验，帮助学生了解网络安全的实际应用。

具体应用方式包括：首先，将数据集用于网络安全课程的教学，让学生通过实际数据分析了解网络攻击的特征和行为；其次，利用数据集开展研究项目，如新型攻击检测方法的研究、安全防御策略的优化等；然后，将研究成果应用到实际的网络安全产品和服务中；最后，通过学术论文、技术报告等形式分享研究成果，推动网络安全领域的发展。

这种研究和教育应用，可以培养更多的网络安全人才，推动网络安全技术的创新和发展，为IOMT网络安全提供更强大的技术支持。

## 结尾

本数据集作为一个大规模、高质量的IOMT医疗物联网网络流量数据集，具有显著的优势和广泛的应用价值。它包含了324万条网络流量记录，涵盖了9种不同类型的流量，包括8种攻击类型和1种正常流量，提供了102个详细的特征字段，为IOMT网络安全研究和应用提供了丰富的素材。

该数据集的核心价值在于：首先，它为IOMT网络安全研究提供了真实、全面的数据支持，有助于深入了解医疗物联网环境下的网络攻击特征和行为模式；其次，它为机器学习模型的训练和评估提供了理想的基础数据，可以开发出性能优异的安全分析工具和防护系统；此外，它还可以用于制定和优化IOMT网络安全策略，提高医疗设备的安全性和可靠性。

在实际应用中，该数据集可以用于开发网络入侵检测系统、异常行为分析工具、机器学习模型等，为IOMT设备提供有效的安全保障。同时，它还可以用于网络安全研究和教育，推动网络安全技术的发展和人才培养。

随着IOMT技术的不断发展和应用场景的不断扩展，网络安全问题将越来越重要。本数据集的发布和应用，将为IOMT网络安全研究和实践提供有力的支持，有助于构建更安全、更可靠的医疗物联网环境，保障患者的生命安全和医疗数据的隐私保护。

有需要了解更多关于本数据集的信息或获取完整数据，可以通过相关渠道进行咨询和获取。