面向云環(huán)境地取證技術研究

面向云環(huán)境的取證技術研究隨著云計算技術的迅猛發(fā)展，云環(huán)境下的取證技術成為了當前的一個研究熱點。與傳統(tǒng)的數(shù)字取證技術不同，云取證所面對的系統(tǒng)結構更加復雜、數(shù)據(jù)規(guī)模更加巨大。就拿一個小規(guī)模的云來舉例，假設該系統(tǒng)中有個節(jié)點，每個節(jié)點磁盤空間為，為，則總的磁盤取證空間是 、取證空間為，即使不考慮節(jié)點間操作系統(tǒng)及文件系統(tǒng)的不同，如此龐大的數(shù)據(jù)量是傳統(tǒng)取證技術無法勝任的。因此，如何從云中獲取完整可靠的證據(jù)數(shù)據(jù)是當前云取證研究的難點問題【】。具體來說，云取證主要面臨以下大技術難題。云中數(shù)據(jù)物理存放地點范圍太大。云數(shù)據(jù)中心由成千上萬臺擁有大容量存儲設備的組成，云系統(tǒng)屏蔽了下層數(shù)據(jù)存儲的實現(xiàn)細節(jié)，只對用戶提供一個邏輯上單一的數(shù)據(jù)存放地址，因此，要想獲得云中數(shù)據(jù)的物理存放地址并非易事【】。云應用產(chǎn)生的邏輯上相關的數(shù)據(jù)可能被分散存放。云應用所產(chǎn)生的數(shù)據(jù)被統(tǒng)一存儲在邏輯上連續(xù)的地址空間中，而這些數(shù)據(jù)的物理存放地址可能并不連續(xù)，甚至可能被分散在好幾個不同的存儲設備中。待取證數(shù)據(jù)規(guī)模大，而真正與犯罪相關的信息很少。云中存儲著海量數(shù)據(jù)，從如此大規(guī)模的數(shù)據(jù)中提取證據(jù)信息有如大海撈針。就以 模型舉例，一個虛擬機鏡像小則幾B大則幾十至幾百，而存儲在這些鏡像中的關鍵證據(jù)信息可能就只有幾。云的彈性擴展機制要求取證能及時適應系統(tǒng)規(guī)模的變化，即實現(xiàn)彈性取證【】。彈性擴展是云系統(tǒng)的關鍵特征，它能在云應用運行期間實現(xiàn)支撐云應用的虛擬機實例個數(shù)的動態(tài)增加或者減少。當虛擬機實例個數(shù)減少時，若不能及時提取出殘留在該虛擬機實例中的證據(jù)信息，則這些證據(jù)信息很可能會丟失，且難以恢復【】。與傳統(tǒng)的數(shù)字取證技術相比，云取證技術面臨的挑戰(zhàn)主要包括個方面。首先，沒有成熟的云取證工具供調查人員使用，云取證活動主要依靠調查人員掌握的傳統(tǒng)的取證技術及相關經(jīng)驗，若調查人員操作不當很可能會破壞原始證據(jù)信息，從而導致取證失敗。其次，證據(jù)信息的獲取難度及方法會隨著云服務模型及部署模型的不同而不同【】。例如，相對于公有云而言，私有云架構更加清晰、云數(shù)據(jù)的存放節(jié)點地點固定，因此私有云模式下的取證難度遠小于公有云；相對于軟件即服務 模型而言，模型能提供更多底層的數(shù)據(jù)供調查人員取證分析，因此 模型下的取證難度會小于模型。目前，國內(nèi)外學者對于云取證的研究進行了初步性的探索：中國政法大學的李小愷等人主要研究了云計算環(huán)境下的計算機偵查取證問題，從云計算關鍵技術和特點出發(fā)，對計算機取證面臨的問題進行了深入分析，并提出了相關對策；武魯?shù)热颂岢鲆环N基于云的計算機取證系統(tǒng)的設計方案，主要是在分析和研究云環(huán)境下的安全缺陷和安全威脅的前提下，利用傳統(tǒng)電子取證技術解決云環(huán)境的安全問題，同時借助云計算具有的高性能計算能力來滿足取證工作對于高性能計算的需求;廈門美亞的張超通過對云計算環(huán)境下面臨安全問題深入分析，探討了云計算環(huán)境下的調查取證與分析。 等人對多位數(shù)字取證專家進行了采訪，歹U舉出了他們對云取證領域的一些關鍵問題的看法，如云取證技術面臨著哪些挑戰(zhàn)、帶來了哪些機遇，有哪些有價值的研究方向等【】。 等人從技術的角度剖析了云取證所面臨的技術難題【】，而 等人則從法律的角度分析了云取證技術所面臨的法律障礙【】以下將從在云取證的各個方面來探討當前的研究現(xiàn)狀。證據(jù)識別在文獻中，作者認為，由于云計算系統(tǒng)的攻擊是無聲無息的，因為特定于云的攻擊并不一定會在節(jié)點的操作系統(tǒng)上留下痕跡，所以傳統(tǒng)的系統(tǒng)對于云計算系統(tǒng)是無效的。因此作

者提出了將放置在云計算架構中的上下文中的想法，并且提出了一個系統(tǒng)原型，即。針對不同類型的云服務，相應的解決方案也不相同。對于私有云，只需將 放置在服務端即可；而對于公有云則采用多層架構：用戶端可以通過 監(jiān)視可疑事件，并向服務商報告，服務端通過監(jiān)視基礎架構，以發(fā)現(xiàn)針對于多數(shù)用戶的大規(guī)模攻擊。以下是 的原型架構，該系統(tǒng)中包含一個審計模塊。Figure1■Figure1■Thearchitectureofgridandcloudcomputingintrusiondetection.Eachnodeidentifieslocaleventsthatcouldrepresentsecurityviolationsandsendsanalerttotheothernodes.—■———-KnowledgeBehaviorI&aseJIbaseJ；fStorageservice其中，d提供服務的資源節(jié)點;:提供各種服務，以便于各個組件之間進行通信；事件審計器是該系統(tǒng)的關鍵模塊，它從不同的資源中抓取數(shù)據(jù)，例如日志系統(tǒng)，服務和節(jié)點信息等以此來監(jiān)聽各種事件;:保存用于分析的數(shù)據(jù)。提供兩種方法來進行:保存用于分析的數(shù)據(jù)。提供兩種方法來進行入侵：基于行為和基于知識的分析系統(tǒng)。當發(fā)現(xiàn)可能的攻擊時,通知其他的節(jié)點。在文獻【i中，作者也同樣提出了將系統(tǒng)置入云架構中的方法，但針對性有所不同。作者認為，云架構的復雜性和用戶的多樣性導致了不同的的用戶有不同的安全需求，特別對于用戶來說，一個棘手的問題則是用戶失去了對使用資源的整體控制。而對于來說，提供給用戶對所用資源的完全控制權是完全必要的，因為用戶會根據(jù)需求的不同來對資源進行不一樣的配置和使用。并且，為了關聯(lián)和分析來自不同部分傳過來的警告信息，一個中心管理單元必要的。此外系統(tǒng)還必須具備一定的擴展性，以適應不同的環(huán)境，例如基于的環(huán)境和基于網(wǎng)絡的環(huán)境而且針對云架構的三個不同層次（應用層、平臺層、系統(tǒng)層），會遇到不同地攻擊，例如，應用層：例如用戶運行一個網(wǎng)站，攻擊者可能會利用（跨站攻擊）,

用戶可能通過注入腳本代碼的方式來獲取用戶的信息等。針對上述問題，作者提出了一個可擴展的管理架構，由一些傳感器和一個管理中心組成。首先，在客戶端和服務端都必須安裝相應的在客戶端需要安裝與提供服務相隔離的，否則在客戶端被控制之后就會失去作用。并且用戶需要根據(jù)自己的需求來對不同的應用來對進行不同的配置。服務端：也需要安裝相應的，并與所監(jiān)視的對象隔離。因為它所提供的基礎架構也可能遭致不同的攻擊，這些攻擊可能來自外部或者用戶。其配置可能如下圖所示：IDS

SensorEvent

GathererConfigurationjIntegratedIDSVM

ManagementIDS

SensorEvent

GathererConfigurationjIntegratedIDSVM

Management的警告信息傳到管的警告信息傳到管進行干預。并且通6U0上圖由兩個部分組成：一個傳感器虛擬機（ s和 管理單元系統(tǒng)通過 與安裝在每個中的進行通信，理中心；并統(tǒng)一格式化持久存儲到數(shù)據(jù)庫或文件中。然后又分析模塊進行分析，然后以某種應對措施來通知 ，對過 用戶可以配置自定義的的。證據(jù)保全潛在證據(jù)的數(shù)據(jù)量問題（ ）由于云計算的靈活性，例如用戶的按需付費，用戶可能會需求無限制的數(shù)據(jù)存儲能力。而這對于取證人員來說，也相應需要存儲這些潛在的證據(jù)。這些數(shù)據(jù)怎么保全是一個比較棘手的問題。一個方案是把這些數(shù)據(jù)存儲到云存儲中心，但隨之而來的問題便是如何保證這些證據(jù)的安全和隱私以及這些操作本身對證據(jù)的影響。而在為了減少數(shù)據(jù)里的問題上，在傳統(tǒng)取證中有的人提出了分類（ ）的技術，該方法允許調查人員能夠專注于某一時期內(nèi)最有價值的那部分證據(jù)的分析，而不是整個所有的證據(jù)。因此在云環(huán)境下，一個對應的模型被等人提出來，即 （ ）。該模型的工作原理如下每個用戶擁有獨立的主目錄（ 。，該目錄下存放著該用戶所有的應用數(shù)據(jù)，除了這些數(shù)據(jù)被當做證據(jù)之外，操作系統(tǒng)的注冊表、系統(tǒng)日志、應用日志以及所有包含時間戳的數(shù)據(jù)都會當做證據(jù)。當然這個模型并不能直接應用在云這樣的環(huán)境中，因為基于用戶的應用數(shù)據(jù)可能在云端，也可能在客戶端，或者兩者皆有，這就需要取證人員進行在線取證。證據(jù)的保護在傳統(tǒng)取證中，取證人員能夠對可能包含證據(jù)的設備進行實際控制，而在云中，由于云服務的遠程特性使得實際控制是非常困難的，除非調查人員能夠獲得某個服務的控制權，否則，潛在的證據(jù)很可能被用戶或者云提供商破壞掉。而在如何獲得云服務的控制權以及可行性方面，很少人對這個有所研究或者說這種方法是不可行的。而為了防止證據(jù)的破壞，等人提出了將云實例隔離的方法包括實例遷移，服務農(nóng)場，地址重定位，熱備份，安全沙箱等技術，他們對這些技術的優(yōu)缺點分別進行了論述，然而它們都必須解決的問題是，對一個實例隔離時，來自該實例的數(shù)據(jù)可能會和其他實例共享存儲并且可能不會存在于一個固定的位置，而且運行該實例的節(jié)點上可能還存在其他實例，如何保證其他的實例的可用性以及隱私是迫于解決的問題。證據(jù)的獲取在云端數(shù)據(jù)中心，如何通過工具來抽取其中的證據(jù)也是一個挑戰(zhàn)。傳統(tǒng)的取證工具如等工具大多數(shù)只對一般的電腦端進行證據(jù)檢查，如何開發(fā)出適用于云計算環(huán)境中的工具，是一個當前研究熱點。 等人建議更新傳統(tǒng)的取證工具，通過添加額外的功能來使其應用到云計算環(huán)境中。除此之外，由于證據(jù)來源的多樣性，各種證據(jù)之間格式并不一樣，如何設計一種有效的格式并被用于證據(jù)的分析也是一個研究的熱點。在證據(jù)獲取方式上，等人提出了一種概念一數(shù)據(jù)起源（ ）,起源的意思就是對于一個實體,記錄是誰創(chuàng)建了并且修改了他的內(nèi)容以及對它的一些操作信息。顯然這會給取證帶來好處,當然這些起源信息必須保證是安全的，否則提供的信息將不可靠。 等人也提出一個類似的方法，就是 和應用提供商都應該提供日志數(shù)據(jù)來用于取證調查，這些日志數(shù)據(jù)包括業(yè)務日志，操作日志。錯誤日志、系統(tǒng)日志等。除此之外，由于云用戶失去了對自己數(shù)據(jù)的實際控制，因為他們把數(shù)據(jù)處理交給了云服務中，然而這個可以通過由 提出的方法遠程審計來解決°他認為這需要另外一種服務， ，（。，該模型基于 模型，提供業(yè)務處理的模型化、實例化、定制化以及執(zhí)行化。顯然這些審計信息會對取證帶來一些方便。而在云客戶端， 【8宣稱是第一個云取證工具，由斯坦福大學的 教授于 年在黑帽 大會上提出。認為云服務的接入端應當包含有大量證據(jù)信息，因此他設計的 工具主要用于用戶端的證據(jù)提取。該工具目前僅支持 系統(tǒng),能對主流的瀏覽器如 、、 及 進行證據(jù)提取和分析，并能獲得當前主流即時通訊軟件如 、 及 的本地聊天記錄。雖然該工具在用戶端能提取到用戶使用諸如 等云服務的證據(jù)信息，但是這些信息非常有限且很容易遭到犯罪分子的惡意破壞，因此還需與 端提取到的證據(jù)一起組成完整的證據(jù)鏈。刪除的數(shù)據(jù)用戶在作案時可能會刪除數(shù)據(jù)，如何恢復這些數(shù)據(jù)也是很有必要的，因為刪除的數(shù)據(jù)中很可能包含重要的信息。在傳統(tǒng)取證中，嫌疑人通過對物理存儲介質的訪問，刪除證據(jù)數(shù)據(jù)，并且通過重寫的方式來覆蓋數(shù)據(jù)已達到不可恢復的目的。而在云計算中這種情況是有所改善。對于用戶的數(shù)據(jù)，由于云計算的可靠性和健壯性，數(shù)據(jù)會有很多備份，當嫌疑人刪除自己的數(shù)據(jù)時，其他備份的數(shù)據(jù)并不會刪除，除非他獲取了整個云計算的管理員權限。然而，有的服務提供商如 為了用戶的隱私，也會在用戶刪除自身數(shù)據(jù)的同時，一并將其他的備份數(shù)據(jù)刪除掉，包括指向這些數(shù)據(jù)的指針也會被刪掉，這樣再來恢復這些數(shù)據(jù)就非常困難。在線取證在云環(huán)境中，頻繁使用的數(shù)據(jù)很可能也存在于非持久化介質如內(nèi)存中。如何獲取這些數(shù)據(jù)就是現(xiàn)在所說的在線取證。傳統(tǒng)取證中，在線取證就是在一個電腦在未關機的情況下對內(nèi)存、進程、網(wǎng)絡活動、緩存等易失性、臨時性數(shù)據(jù)的獲取。而在云計算中就是在不影響其他用戶使用云服務的情況下來對這些數(shù)據(jù)的獲取。 框架是一個用于傳統(tǒng)取證的在線取證框架，它能將一些易失性、臨時性數(shù)據(jù)收集起來作為證據(jù)，如何擴展現(xiàn)有的框架來將其應用到云中是一個值得研究方向。例如華中科技大學的周剛博士提出了一種以現(xiàn)場遷移技術為基礎的云取證方法，該方法將虛擬機實例視為取證分析對象【】。當有取證需求時，將待取證虛擬機實例遷移至本地，在遷移過程中，對虛擬機實例的內(nèi)存映射、網(wǎng)絡連接等易失性數(shù)據(jù)進行了保全，然后將該虛擬機實例在本地進行加載，最后利用一些傳統(tǒng)的取證工具在虛擬機實例中進行取證。該方法雖然能有效地從正常運行的虛擬機實例中獲得證據(jù)數(shù)據(jù)，但當虛擬機實例被用戶惡意破壞無法加載時，該方法就會失效。數(shù)字鏡像的獲取數(shù)字鏡像的獲取是基于調查人員在對操作對象處于實際控制的基礎上來進行的，在傳統(tǒng)取證中，調查人員比較容易控制目標實體，于是可以通過取證工具對存儲設備中存儲的數(shù)據(jù)按位拷貝，以便于隨后的證據(jù)分析操作。相對于云環(huán)境，假設取證人員已經(jīng)取得了云服務的控制權，然而由于云計算中虛擬化技術的應用，這讓證據(jù)的獲取更加困難。首先，在用戶看來,用戶的數(shù)據(jù)會“統(tǒng)一”存在一個位置，而實際上，存儲的虛擬化讓取證人員并不知道其真正的物理位置，其次就算知道了物理位置，它也可能會和其他的用戶的數(shù)據(jù)參雜在一起，這時如何鑒別其中的證據(jù)，并且在不侵犯別人隱私的情況下來獲得這些數(shù)據(jù)也是一個問題。針對特定云平臺的取證研究等人針對開源云平臺 環(huán)境下的取證技術進行了研究【0首先，他們在云系統(tǒng)內(nèi)部部署了兩臺攻擊源主機；然后，利用上述主機對云控制器 節(jié)點發(fā)起 攻擊，耗盡節(jié)點的、內(nèi)存及網(wǎng)絡帶寬等資源，致使 無法開啟新的虛擬機實例，無法及時對終端用戶的請求進行響應；最后，從 、 等日志記錄中查找本次攻擊的來源。 總的研究思路就是先對 進行攻擊，然后針對該類型的攻擊尋找相應的取證方法。雖然作者提出的方法對特定類型攻擊的取證調查有較強的借鑒意義，但還存在兩點不足，首先,網(wǎng)絡攻擊的方式多種多樣且不斷變化，對每一種攻擊都提出一種取證方案的可行性不大且沒有必要；其次，對于那些符合云系統(tǒng)安全規(guī)則所產(chǎn)生的數(shù)字證據(jù)，作者并沒有提出有效的提取方法。虛擬化技術在云取證中的應用由于虛擬化技術在云計算中的應用，如何通過虛擬化技術來進行證據(jù)的獲取是一個值得考慮的問題。這里講到的便是虛擬機內(nèi)省機制（）。虛擬機自省技術通過監(jiān)視虛擬機獲取被監(jiān)控主機的內(nèi)存信息、使用情況等計算機系統(tǒng)的運行狀態(tài)信息。它被充分應用在安全領域的研究工作中。以下是虛擬機內(nèi)省實現(xiàn)的幾個典型方式【1。進程主機

代理進程主機

代理喘拒磯隹視歳虛擬機內(nèi)省技術在云取證中主要應用在以下方面：首先，通過在虛擬機內(nèi)安裝額外的軟件來進行證據(jù)的獲取?？皵M機bon「開發(fā)了一個安全并且健壯的叫做1￥榭一1丨”的應用。該應用被放置在一個隔離的虛擬機內(nèi)，但是卻可以通過函數(shù)調