论文部分内容阅读
[摘要]随着云计算业务的持续增长,与云计算相关的或者直接以云为目标的网络犯罪也不断增加。云计算环境下互联网将面临更多的计算机犯罪问题,给计算机取证带来了极大的挑战。本文通过分析讨论了云环境下数字取证所面临的挑战,同时尝试性地提出一种云取证模型。该模型利用Agent技术获取证据,利用云计算中的虚拟化技术和协作技术,提高取证效率及计算机证据的安全性。
[关键词]云计算计算机取证云取证模型
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2015)05-0333-01
一、引言
云取证(Cloud Forensics)指的是在云计算环境下的计算机取证技术,是一个云计算和数字取证交叉的学科。云计算(Cloud Computing)是由美国谷歌公司于2006年首次提出。我国著名学者李德毅院士认为,通俗地来说,云计算就是一种基于互联网的大众参与的计算模式。时至今日这种商业计算模式已经大量使用,与百姓的生活产生息息相关的联系。计算机取证(ComputerForensics)是利用各种计算机软硬件知识和辨析技术,对计算机入侵、破坏、攻击、欺诈等犯罪行为,按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。云取证则是在云计算环境中,查找犯罪线索,固定、搜寻、确认和恢复云环境中各类设备存储的电子证据。
二、云计算环境下的计算机取证
云计算系统为数据的分布式处理提供了一种新的模式。其虚拟化技术是适用于所有云架构的一种基础性设计技术。在云计算中,它主要指平台虚拟化,或者是从使用资源的人和应用程序对物理IT资源的抽象作用。虚拟化允许将服务器、存储设备和其他硬件视为一个资源池,而不是离散系统,这样就可以根据需要来分配这些资源。基于云环境下的计算机取证可能会涉及更加复杂的电子证据采集和分析。
如果在取证时需要对计算环境进行保留,那么云计算技术在某些方面对电子证据的调查分析是十分有用的。在某些方面对它将所处的计算环境进行备份,放到云中供取证者分析研究,同时携带正常的运作过程。然而这些送入云环境的移动数据仅仅是一些简短的描述,因为在公共云计算系统中的数据可以存储在世界任何一个地方。它的传播也可能是在没有现成的隐私法可以执行或者不存在的国家,因此,对于这一系列的数据的保管可能难以实现。当证据被保存下来或者相关数据被捕获时,要开始采取对证据的保护措施。数据在云环境下大多是临时的或半永久的,因此证据将变的更加虚无和动态化。使得证据的获取和保管变得困难。比如,如果获得了云计算系统的应用程序申请,数据会被写入操作系统,如注册表项或者网络临时文件夹,数据将会驻留或者保存在云计算开辟的虚拟空间中,因此当用户退出服务时数据将会丢失不予保存。这使得传统存储在用户硬盘上的证据变得无法恢复。此外,公用云中的物理计算设备相对比较简单,云环境下通过法律程序获得公用云计算系统中的数据(或者通过分布在不同管辖区域的计算机设备)将变得复杂,并且会造成调查取证的延迟,然而数据恢复过程中实时性是极其关键的。
三、云取证面临的挑战
在云计算的环境中,由于云技术的特点,数据分布在不同的地点,造成取证人员无法获取存储数据的具体设备,因此按照传统的取证方法难以进行取证,这就给确认数据造成麻烦。
数据的大量增加造成取证人员不能依赖于把存储介质找到,有的时候即使找到了,数据可能只是其中的一部分,所以云取证一般是在线的、实时的取证。随着目前电子产品的大量使用,手机、平板等电子设备已经成为我们生活的必需品,而这些产品的大量使用也生成了大量的、不同格式的数据,这些数据也给取证增加了难度。
在传统取证中,取证人员主要是对设备进行分析,利用专门的取证工具恢复已经删除的数据,从中找到线索。在云计算中,数据所有者对云中的数据有删除的权利,但是,数据一旦被所有者删除,新的数据也许会覆盖原有磁盘空间,造成原有数据无法恢复。
许多公司、机构和个人使用云存储他们的数据,大量的犯罪活动存在于存储里,同时大量终端的使用造成数据的获取和证据的收集变得越来越困难,因为这些终端连接至云服务器,取证人员对服务器取证会变得非常麻烦。现在,数据的大小也是急剧膨胀,即使通过专门的工具也得耗费大量的时间。
另外,建立犯罪事件的時间轴也会碰到很多问题。在云计算中,数据来源于不同地点的服务器。每个服务器的时间设置是否一致,服务器事件的存取时间是否同步,这些问题都需要考虑。
四、云取证模型
本文主要利用云计算关键技术中的虚拟化技术和协作技术构建了云取证模型。将基础设施层的各主机、分布式存储、网络等通过虚拟化技术,在服务器集群中生成多个虚拟机,这样可以大大降低服务器的购置成本和运维成本;且在数据采集及日志分析过程中,使各主机与服务器集群协同工作,以最小代价及较高效率来完成取证工作。
云取证模型各层功能描述如下:
(1)物理资源层:主要把云计算物理资源的整体架构归为一层,其中基础设施层主要包括了虚拟化的云中主机、分布式存储、网络、关系数据库等资源,中间层在基础设施层提供资源基础上提供多租户、并行处理、分布式缓存等服务,并通过显示层以友好的方式展现用户所需的内容。
(2)证据资源池:此层作为取证证据的重要来源,通过云中基础设施层各数据采集Agent自主、智能地获取需要的日类、策略更改类、网络类、攻击类等,形成证据资源池,作为上层进行证据分析的主要来源。
(3)虚拟层:将证据分析的过程形成虚拟层,首先需要对日志格式进行标准化,并通过日志查询或挖掘对日志进行处理,利用静态取证及动态取证技术来实现电子证据的获得。
(4)协同层:此层的核心是协同Agent,它的主要作用是使服务器集群和各Agent协同工作,实现它们之间的相互通信和同步交互。
(5)管理中间件:主要包括了用户管理、取证管理、安全管理。其中,安全管理主要是保证取证过程中系统安全性及获得的证据通过数字签名、时间戳等来保证其完整性。
(6)取证服务层:此层主要用来提供取证服务。
首先通过云中各数据采集Agent,对发现的问题进行日志采集,并进行日志格式统一化后存入日志库中,通过云中各主机与服务器集群之间的协作,来进行挖掘及证据分析,主要包括了通过关联规则挖掘,将日志中的大量按特定规律分布的关联规则挖掘出来;通过序列模式挖掘,找到入侵行为的时间序列、事件序列特征;通过孤立点分析,分析数据中的异常数据,找出异常数据模式,获取有效证据信息。
五、结束语
本文在研究计算机取证和云计算的基础上,首先分析了云取证面临的困难与挑战,并构建了一种云取证模型,将云计算关键技术引入到计算机取证中,采用Agent技术自主、智能地获取证据,并利用云计算中的虚拟化技术和协作技术提高了取证效率和计算机证据安全性。今后的研究将重点改进云取证方法和模型,并将这些方法和模型运用在实时案件中。
[关键词]云计算计算机取证云取证模型
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2015)05-0333-01
一、引言
云取证(Cloud Forensics)指的是在云计算环境下的计算机取证技术,是一个云计算和数字取证交叉的学科。云计算(Cloud Computing)是由美国谷歌公司于2006年首次提出。我国著名学者李德毅院士认为,通俗地来说,云计算就是一种基于互联网的大众参与的计算模式。时至今日这种商业计算模式已经大量使用,与百姓的生活产生息息相关的联系。计算机取证(ComputerForensics)是利用各种计算机软硬件知识和辨析技术,对计算机入侵、破坏、攻击、欺诈等犯罪行为,按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。云取证则是在云计算环境中,查找犯罪线索,固定、搜寻、确认和恢复云环境中各类设备存储的电子证据。
二、云计算环境下的计算机取证
云计算系统为数据的分布式处理提供了一种新的模式。其虚拟化技术是适用于所有云架构的一种基础性设计技术。在云计算中,它主要指平台虚拟化,或者是从使用资源的人和应用程序对物理IT资源的抽象作用。虚拟化允许将服务器、存储设备和其他硬件视为一个资源池,而不是离散系统,这样就可以根据需要来分配这些资源。基于云环境下的计算机取证可能会涉及更加复杂的电子证据采集和分析。
如果在取证时需要对计算环境进行保留,那么云计算技术在某些方面对电子证据的调查分析是十分有用的。在某些方面对它将所处的计算环境进行备份,放到云中供取证者分析研究,同时携带正常的运作过程。然而这些送入云环境的移动数据仅仅是一些简短的描述,因为在公共云计算系统中的数据可以存储在世界任何一个地方。它的传播也可能是在没有现成的隐私法可以执行或者不存在的国家,因此,对于这一系列的数据的保管可能难以实现。当证据被保存下来或者相关数据被捕获时,要开始采取对证据的保护措施。数据在云环境下大多是临时的或半永久的,因此证据将变的更加虚无和动态化。使得证据的获取和保管变得困难。比如,如果获得了云计算系统的应用程序申请,数据会被写入操作系统,如注册表项或者网络临时文件夹,数据将会驻留或者保存在云计算开辟的虚拟空间中,因此当用户退出服务时数据将会丢失不予保存。这使得传统存储在用户硬盘上的证据变得无法恢复。此外,公用云中的物理计算设备相对比较简单,云环境下通过法律程序获得公用云计算系统中的数据(或者通过分布在不同管辖区域的计算机设备)将变得复杂,并且会造成调查取证的延迟,然而数据恢复过程中实时性是极其关键的。
三、云取证面临的挑战
在云计算的环境中,由于云技术的特点,数据分布在不同的地点,造成取证人员无法获取存储数据的具体设备,因此按照传统的取证方法难以进行取证,这就给确认数据造成麻烦。
数据的大量增加造成取证人员不能依赖于把存储介质找到,有的时候即使找到了,数据可能只是其中的一部分,所以云取证一般是在线的、实时的取证。随着目前电子产品的大量使用,手机、平板等电子设备已经成为我们生活的必需品,而这些产品的大量使用也生成了大量的、不同格式的数据,这些数据也给取证增加了难度。
在传统取证中,取证人员主要是对设备进行分析,利用专门的取证工具恢复已经删除的数据,从中找到线索。在云计算中,数据所有者对云中的数据有删除的权利,但是,数据一旦被所有者删除,新的数据也许会覆盖原有磁盘空间,造成原有数据无法恢复。
许多公司、机构和个人使用云存储他们的数据,大量的犯罪活动存在于存储里,同时大量终端的使用造成数据的获取和证据的收集变得越来越困难,因为这些终端连接至云服务器,取证人员对服务器取证会变得非常麻烦。现在,数据的大小也是急剧膨胀,即使通过专门的工具也得耗费大量的时间。
另外,建立犯罪事件的時间轴也会碰到很多问题。在云计算中,数据来源于不同地点的服务器。每个服务器的时间设置是否一致,服务器事件的存取时间是否同步,这些问题都需要考虑。
四、云取证模型
本文主要利用云计算关键技术中的虚拟化技术和协作技术构建了云取证模型。将基础设施层的各主机、分布式存储、网络等通过虚拟化技术,在服务器集群中生成多个虚拟机,这样可以大大降低服务器的购置成本和运维成本;且在数据采集及日志分析过程中,使各主机与服务器集群协同工作,以最小代价及较高效率来完成取证工作。
云取证模型各层功能描述如下:
(1)物理资源层:主要把云计算物理资源的整体架构归为一层,其中基础设施层主要包括了虚拟化的云中主机、分布式存储、网络、关系数据库等资源,中间层在基础设施层提供资源基础上提供多租户、并行处理、分布式缓存等服务,并通过显示层以友好的方式展现用户所需的内容。
(2)证据资源池:此层作为取证证据的重要来源,通过云中基础设施层各数据采集Agent自主、智能地获取需要的日类、策略更改类、网络类、攻击类等,形成证据资源池,作为上层进行证据分析的主要来源。
(3)虚拟层:将证据分析的过程形成虚拟层,首先需要对日志格式进行标准化,并通过日志查询或挖掘对日志进行处理,利用静态取证及动态取证技术来实现电子证据的获得。
(4)协同层:此层的核心是协同Agent,它的主要作用是使服务器集群和各Agent协同工作,实现它们之间的相互通信和同步交互。
(5)管理中间件:主要包括了用户管理、取证管理、安全管理。其中,安全管理主要是保证取证过程中系统安全性及获得的证据通过数字签名、时间戳等来保证其完整性。
(6)取证服务层:此层主要用来提供取证服务。
首先通过云中各数据采集Agent,对发现的问题进行日志采集,并进行日志格式统一化后存入日志库中,通过云中各主机与服务器集群之间的协作,来进行挖掘及证据分析,主要包括了通过关联规则挖掘,将日志中的大量按特定规律分布的关联规则挖掘出来;通过序列模式挖掘,找到入侵行为的时间序列、事件序列特征;通过孤立点分析,分析数据中的异常数据,找出异常数据模式,获取有效证据信息。
五、结束语
本文在研究计算机取证和云计算的基础上,首先分析了云取证面临的困难与挑战,并构建了一种云取证模型,将云计算关键技术引入到计算机取证中,采用Agent技术自主、智能地获取证据,并利用云计算中的虚拟化技术和协作技术提高了取证效率和计算机证据安全性。今后的研究将重点改进云取证方法和模型,并将这些方法和模型运用在实时案件中。