刘茹
【摘 要】人工智能医疗器械作为一个新的医疗器械产品,其安全性是最受人们关注的。而越来越多的病毒对于传统的沙箱测试已经有了对应的侦测方法。本文通过研究,发现通过云平台创建云主机作为沙箱环境,能提高检测出病毒的概率,同时也能提供更好的测试业务支持。
【关键词】沙箱测试;人工智能;医疗器械
1 沙箱测试在人工智能医疗器械检测中的必要性
随着时代的发展,计算机在各行各业都得到了应用。而木马、蠕虫等计算机病毒也成为了人们的大敌,这些病毒通过高度定制化的恶意代码对计算机进行攻击,获取计算机的各种信息,对网络安全造成了巨大威胁。互联网大背景下,每个企业都可能会遭受到黑客等非法入侵,造成企业或个人数据的泄露,应用系统的崩溃。而且代码和信息安全事件是在全世界泛滥。信息泄露,网络犯罪、病毒泛滥和黑客攻击等事件不断考验着企业的安全能力。一旦发生,企业的损失无法估量,甚至损害了企业品牌和影响力,无法估量的。
在多年前,很多测试人员开始采用沙箱技术进行检测,利用虚拟化技术构建一个虚拟环境,该环境与真实环境完全隔离,测试员可以在该环境中分析软件的所有行为,从而可以测试出软件中是否含有病毒。
而对于医疗相关的产品来说,安全性又可谓是重中之重。各类医疗系统、产品的大量使用在带来了极大便利的同时,患者的信息也越来越聚集且容易获得,这些信息的泄露会给各类不法分子提供便利,造成极不好的社会影响。
现如今的人工智能医疗器械里绝大多数产品都包含计算机软件的部分。由此可见,沙箱测试在人工智能医疗器械检测中是极其重要的。
2 沙箱测试在人工智能医疗器械检测中应用的解决方案
常用的沙箱测试方法主要有沙箱软件与虚拟机这两种。然而病毒的开发者为了防止被检测出来,也慢慢开始在病毒代码中加入反侦测的内容,这些病毒会先监测是否处于不真实的环境中,一旦发现不在真实环境中,就会停止攻击系统。McAfee 2017年发布的《威胁报告》显示,反沙箱機制超过反调试、反监视、代码混淆等方法,成为恶意代码使用最为广泛的逃避检测手段[1]此外,Lastline 实验室在2015年指出,具有逃避检测功能的恶意代码的比例从2014年年初的35%上升至2014年12月的80%,并且往往结合数10种方法[2]。
Cuckoo是近些年发展最好的一个开源的基于沙箱软件的自动恶意软件分析系统。它被用来自动运行和分析文件,并收集全面的分析结果,概述恶意软件运行在一个孤立的操作系的情况。作为市面上最主流的沙箱软件,自然也免不了成为黑客对抗的目标。Cuckoo通过监控Windows API的调用检测病毒的行动情况。因此病毒及开发者便可通过检测dll的关键函数来探测病毒是否处于Cuckoo中。
另一种沙箱测试的方法是通过虚拟机,常用的又KVM、Vmware等。但是虚拟机里往往会有许多真实环境中不存在的文件,所以病毒开发者可以根据这些信息判断出所处环境。另一方面,虚拟机所分配的CPU、内存、硬盘等资源要远远小于真实环境所提供的,软件、代码的运行速度要比真实情况下慢的多,这些问题都成为了黑客们逃避沙箱检测的突破口。
综合考虑以上情况,本文推荐使用云平台来构建沙箱环境进行检测。通过云平台服务器创建的虚拟机,可以有效避免虚拟机CPU、内存、硬盘容量较小的问题,同时各类软件、命令行的运行速度也较为接近真实环境。通过参考文献:[3],我们通过基于angr对抗沙箱检测方法的原型系统,对于云平台创建的虚拟机进行测试可以发现,检测率为5/122,即病毒较难在该环境中发现所处的是虚拟环境,因此在该环境中大概率可以查出病毒等漏洞。
另外,对于人工智能医疗器械的检测流程来说。使用云平台可以实现测试环境的动态生成,测试数据采集和分析处理、测试对象集中管理、被测对象的分析评估、测试大数据应用支持、测试工具集和数据共享等功能。
参考文献:
[1]McAfee. McAfee labs threats report:June 2017[EB/OL].(2017-07)[2018-06-10].https:// www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf
[2]Kruegel C Labs report at RSA:Evasive malware's gone ma-instream[EB/OL].(2015-04) [2018-06-10].https://www.lastline.com/labsblog/labs-report-at-rsa-evasive-malwares-gone-mai nstream.
[3]张君涛,王轶骏,薛质 基于angr的对抗恶意代码沙箱检测方法的研究[J](2019-02)
(作者单位:江苏省医疗器械检验所)