基于云计算环境下计算机取证研究和探索.docVIP

基于云计算环境下计算机取证研究和探索 　　[摘要]随着云计算业务的持续增长，与云计算相关的或者直接以云为目标的网络犯罪也不断增加。云计算环境下互联网将面临更多的计算机犯罪问题，给计算机取证带来了极大的挑战。本文通过分析讨论了云环境下数字取证所面临的挑战，同时尝试性地提出一种云取证模型。该模型利用Agent技术获取证据，利用云计算中的虚拟化技术和协作技术，提高取证效率及计算机证据的安全性。 　　[关键词]云计算计算机取证云取证模型 　　中图分类号：TP393.08 文献标识码：A 文章编号：1009-914X（2015）05-0333-01 　　一、引言 　　云取证（Cloud Forensics）指的是在云计算环境下的计算机取证技术，是一个云计算和数字取证交叉的学科。云计算（Cloud Computing）是由美国谷歌公司于2006年首次提出。我国著名学者李德毅院士认为，通俗地来说，云计算就是一种基于互联网的大众参与的计算模式。时至今日这种商业计算模式已经大量使用，与百姓的生活产生息息相关的联系。计算机取证（ComputerForensics）是利用各种计算机软硬件知识和辨析技术，对计算机入侵、破坏、攻击、欺诈等犯罪行为，按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。云取证则是在云计算环境中，查找犯罪线索，固定、搜寻、确认和恢复云环境中各类设备存储的电子证据。 　　二、云计算环境下的计算机取证 　　云计算系统为数据的分布式处理提供了一种新的模式。其虚拟化技术是适用于所有云架构的一种基础性设计技术。在云计算中，它主要指平台虚拟化，或者是从使用资源的人和应用程序对物理IT资源的抽象作用。虚拟化允许将服务器、存储设备和其他硬件视为一个资源池，而不是离散系统，这样就可以根据需要来分配这些资源。基于云环境下的计算机取证可能会涉及更加复杂的电子证据采集和分析。 　　如果在取证时需要对计算环境进行保留，那么云计算技术在某些方面对电子证据的调查分析是十分有用的。在某些方面对它将所处的计算环境进行备份，放到云中供取证者分析研究，同时携带正常的运作过程。然而这些送入云环境的移动数据仅仅是一些简短的描述，因为在公共云计算系统中的数据可以存储在世界任何一个地方。它的传播也可能是在没有现成的隐私法可以执行或者不存在的国家，因此，对于这一系列的数据的保管可能难以实现。当证据被保存下来或者相关数据被捕获时，要开始采取对证据的保护措施。数据在云环境下大多是临时的或半永久的，因此证据将变的更加虚无和动态化。使得证据的获取和保管变得困难。比如，如果获得了云计算系统的应用程序申请，数据会被写入操作系统，如注册表项或者网络临时文件夹，数据将会驻留或者保存在云计算开辟的虚拟空间中，因此当用户退出服务时数据将会丢失不予保存。这使得传统存储在用户硬盘上的证据变得无法恢复。此外，公用云中的物理计算设备相对比较简单，云环境下通过法律程序获得公用云计算系统中的数据（或者通过分布在不同管辖区域的计算机设备）将变得复杂，并且会造成调查取证的延迟，然而数据恢复过程中实时性是极其关键的。 　　三、云取证面临的挑战 　　在云计算的环境中，由于云技术的特点，数据分布在不同的地点，造成取证人员无法获取存储数据的具体设备，因此按照传统的取证方法难以进行取证，这就给确认数据造成麻烦。 　　数据的大量增加造成取证人员不能依赖于把存储介质找到，有的时候即使找到了，数据可能只是其中的一部分，所以云取证一般是在线的、实时的取证。随着目前电子产品的大量使用，手机、平板等电子设备已经成为我们生活的必需品，而这些产品的大量使用也生成了大量的、不同格式的数据，这些数据也给取证增加了难度。 　　在传统取证中，取证人员主要是对设备进行分析，利用专门的取证工具恢复已经删除的数据，从中找到线索。在云计算中，数据所有者对云中的数据有删除的权利，但是，数据一旦被所有者删除，新的数据也许会覆盖原有磁盘空间，造成原有数据无法恢复。 　　许多公司、机构和个人使用云存储他们的数据，大量的犯罪活动存在于存储里，同时大量终端的使用造成数据的获取和证据的收集变得越来越困难，因为这些终端连接至云服务器，取证人员对服务器取证会变得非常麻烦。现在，数据的大小也是急剧膨胀，即使通过专门的工具也得耗费大量的时间。 　　另外，建立犯罪事件的时间轴也会碰到很多问题。在云计算中，数据来源于不同地点的服务器。每个服务器的时间设置是否一致，服务器事件的存取时间是否同步，这些问题都需要考虑。 　　四、云取证模型 　　本文主要利用云计算关键技术中的虚拟化技术和协作技术构建了云取证模型。将基础设施层的各主机、分布式存储、网络等通过虚拟化技术，在服务器集群中生成多个虚拟机，这样可以大大降低服务器的购置成本和运维成