面向云环境地取证技术研究.doc

实用标准 精彩文档 面向云环境的取证技术研究 随着云计算技术的迅猛发展，云环境下的取证技术成为了当前的一个研究热点。与传统的数字取证技术不同，云取证所面对的系统结构更加复杂、数据规模更加巨大。就拿一个小规模的云来举例，假设该系统中有2000个节点，每个节点磁盘空间为320GB，RAM为2GB，则总的磁盘取证空间是640TB、RAM取证空间为4TB，即使不考虑节点间操作系统及文件系统的不同，如此庞大的数据量是传统取证技术无法胜任的。因此，如何从云中获取完整可靠的证据数据是当前云取证研究的难点问题【1】。具体来说，云取证主要面临以下4大技术难题。 1)?云中数据物理存放地点范围太大。云数据中心由成千上万台拥有大容量存储设备的PC组成，云系统屏蔽了下层数据存储的实现细节，只对用户提供一个逻辑上单一的数据存放地址，因此，要想获得云中数据的物理存放地址并非易事【2】。? 2)?云应用产生的逻辑上相关的数据可能被分散存放。云应用所产生的数据被统一存储在逻辑上连续的地址空间中，而这些数据的物理存放地址可能并不连续，甚至可能被分散在好几个不同的存储设备中。 3)?待取证数据规模大，而真正与犯罪相关的信息很少。云中存储着海量数据，从如此大规模的数据中提取证据信息有如大海捞针。就以IaaS模型举例，一个虚拟机镜像小则几GB，大则几十至几百GB，而存储在这些镜像中的关键证据信息可能就只有几KB。? 4)?云的弹性扩展机制要求取证能及时适应系统规模的变化，即实现弹性取证【3】。弹性扩展是云系统的关键特征，它能在云应用运行期间实现支撑云应用的虚拟机实例个数的动态增加或者减少。当虚拟机实例个数减少时，若不能及时提取出残留在该虚拟机实例中的证据信息，则这些证据信息很可能会丢失，且难以恢复【4】。 与传统的数字取证技术相比，云取证技术面临的挑战主要包括2个方面。首先，没有成熟的云取证工具供调查人员使用，云取证活动主要依靠调查人员掌握的传统的取证技术及相关经验，若调查人员操作不当很可能会破坏原始证据信息，从而导致取证失败。其次，证据信息的获取难度及方法会随着云服务模型及部署模型的不同而不同【5】。例如，相对于公有云而言，私有云架构更加清晰、云数据的存放节点地点固定，因此私有云模式下的取证难度远小于公有云；相对于软件即服务?(SaaS,?soft-ware?as?a?service)模型而言，IaaS模型能提供更多底层的数据供调查人员取证分析，因此IaaS模型下的取证难度会小于SaaS模型。? 目前，国内外学者对于云取证的研究进行了初步性的探索：中国政法大学的李小恺等人主要研究了云计算环境下的计算机侦查取证问题[6]，从云计算关键技术和特点出发，对计算机取证面临的问题进行了深入分析，并提出了相关对策；武鲁等人提出一种基于云的计算机取证系统的设计方案[7]，主要是在分析和研究云环境下的安全缺陷和安全威胁的前提下，利用传统电子取证技术解决云环境的安全问题，同时借助云计算具有的高性能计算能力来满足取证工作对于高性能计算的需求；厦门美亚的张超通过对云计算环境下面临安全问题深入分析，探讨了云计算环境下的调查取证与分析。Keyun等人对150多位数字取证专家进行了采访，列举出了他们对云取证领域的一些关键问题的看法，如云取证技术面临着哪些挑战、带来了哪些机遇，有哪些有价值的研究方向等【8】。Birk等人从技术的角度剖析了云取证所面临的技术难题【5】，而Reilly等人则从法律的角度分析了云取证技术所面临的法律障碍【9】等等。 以下将从在云取证的各个方面来探讨当前的研究现状。 证据识别 在文献[10]中，作者认为，由于云计算系统的攻击是无声无息的，因为特定于云的攻击并不一定会在节点的操作系统上留下痕迹，所以传统的IDS系统对于云计算系统是无效的。因此作者提出了将IDS放置在云计算架构中的上下文中的想法，并且提出了一个系统原型，即the Grid and Cloud Computing Intrusion Detection System (GCCIDS)。针对不同类型的云服务，相应的解决方案也不相同。对于私有云，只需将IDS放置在服务端即可；而对于公有云则采用多层架构：用户端可以通过IDS监视可疑事件，并向服务商报告，服务端通过IDS监视基础架构，以发现针对于多数用户的大规模攻击。 以下是GCCIDS的原型架构，该系统中包含一个审计模块。 其中， Node：提供服务的资源节点； Service：提供各种服务，以便于各个组件之间进行通信； Event Auditor 事件审计器是该系统的关键模块，它从不同的资源中抓取数据，例如日志系统，服务和节点信息等以此来监听各种事件； Storage Service： 保存用于IDS Service 分析的数据。IDS Servic