資源描述:
《面向云環(huán)境地取證技術(shù)研究》由會(huì)員上傳分享���,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫����。
1、實(shí)用標(biāo)準(zhǔn)面向云環(huán)境的取證技術(shù)研究隨著云計(jì)算技術(shù)的迅猛發(fā)展���,云環(huán)境下的取證技術(shù)成為了當(dāng)前的一個(gè)研究熱點(diǎn)�����。與傳統(tǒng)的數(shù)字取證技術(shù)不同,云取證所面對(duì)的系統(tǒng)結(jié)構(gòu)更加復(fù)雜�、數(shù)據(jù)規(guī)模更加巨大。就拿一個(gè)小規(guī)模的云來舉例���,假設(shè)該系統(tǒng)中有2000個(gè)節(jié)點(diǎn)�����,每個(gè)節(jié)點(diǎn)磁盤空間為320GB��,RAM為2GB���,則總的磁盤取證空間是640TB����、RAM取證空間為4TB����,即使不考慮節(jié)點(diǎn)間操作系統(tǒng)及文件系統(tǒng)的不同,如此龐大的數(shù)據(jù)量是傳統(tǒng)取證技術(shù)無法勝任的�����。因此����,如何從云中獲取完整可靠的證據(jù)數(shù)據(jù)是當(dāng)前云取證研究的難點(diǎn)問題【1】。具體來說��,云取證主要面臨以下4大技術(shù)難題����。1)?云中數(shù)據(jù)物理存放地
2、點(diǎn)范圍太大���。云數(shù)據(jù)中心由成千上萬臺(tái)擁有大容量存儲(chǔ)設(shè)備的PC組成���,云系統(tǒng)屏蔽了下層數(shù)據(jù)存儲(chǔ)的實(shí)現(xiàn)細(xì)節(jié)���,只對(duì)用戶提供一個(gè)邏輯上單一的數(shù)據(jù)存放地址,因此����,要想獲得云中數(shù)據(jù)的物理存放地址并非易事【2】。?2)?云應(yīng)用產(chǎn)生的邏輯上相關(guān)的數(shù)據(jù)可能被分散存放��。云應(yīng)用所產(chǎn)生的數(shù)據(jù)被統(tǒng)一存儲(chǔ)在邏輯上連續(xù)的地址空間中�,而這些數(shù)據(jù)的物理存放地址可能并不連續(xù),甚至可能被分散在好幾個(gè)不同的存儲(chǔ)設(shè)備中�。3)?待取證數(shù)據(jù)規(guī)模大,而真正與犯罪相關(guān)的信息很少���。云中存儲(chǔ)著海量數(shù)據(jù),從如此大規(guī)模的數(shù)據(jù)中提取證據(jù)信息有如大海撈針����。就以IaaS模型舉例,一個(gè)虛擬機(jī)鏡像小則幾GB����,大則幾十至幾百
3��、GB���,而存儲(chǔ)在這些鏡像中的關(guān)鍵證據(jù)信息可能就只有幾KB。?4)?云的彈性擴(kuò)展機(jī)制要求取證能及時(shí)適應(yīng)系統(tǒng)規(guī)模的變化���,即實(shí)現(xiàn)彈性取證【3】�����。彈性擴(kuò)展是云系統(tǒng)的關(guān)鍵特征�,它能在云應(yīng)用運(yùn)行期間實(shí)現(xiàn)支撐云應(yīng)用的虛擬機(jī)實(shí)例個(gè)數(shù)的動(dòng)態(tài)增加或者減少��。當(dāng)虛擬機(jī)實(shí)例個(gè)數(shù)減少時(shí)�����,若不能及時(shí)提取出殘留在該虛擬機(jī)實(shí)例中的證據(jù)信息��,則這些證據(jù)信息很可能會(huì)丟失���,且難以恢復(fù)【4】���。與傳統(tǒng)的數(shù)字取證技術(shù)相比����,云取證技術(shù)面臨的挑戰(zhàn)主要包括2個(gè)方面��。首先�,沒有成熟的云取證工具供調(diào)查人員使用,云取證活動(dòng)主要依靠調(diào)查人員掌握的傳統(tǒng)的取證技術(shù)及相關(guān)經(jīng)驗(yàn)����,若調(diào)查人員操作不當(dāng)很可能會(huì)破壞原始證據(jù)信息
4、����,從而導(dǎo)致取證失敗。其次����,證據(jù)信息的獲取難度及方法會(huì)隨著云服務(wù)模型及部署模型的不同而不同【5】。例如��,相對(duì)于公有云而言�����,私有云架構(gòu)更加清晰����、云數(shù)據(jù)的存放節(jié)點(diǎn)地點(diǎn)固定,因此私有云模式下的取證難度遠(yuǎn)小于公有云��;相對(duì)于軟件即服務(wù)?(SaaS,?soft-ware?as?a?service)模型而言�����,IaaS模型能提供更多底層的數(shù)據(jù)供調(diào)查人員取證分析�,因此IaaS模型下的取證難度會(huì)小于SaaS模型。?目前�,國內(nèi)外學(xué)者對(duì)于云取證的研究進(jìn)行了初步性的探索:中國政法大學(xué)的李小愷等人主要研究了云計(jì)算環(huán)境下的計(jì)算機(jī)偵查取證問題[6],從云計(jì)算關(guān)鍵技術(shù)和特點(diǎn)出發(fā)�����,對(duì)計(jì)算機(jī)
5�����、取證面臨的問題進(jìn)行了深入分析����,并提出了相關(guān)對(duì)策�;武魯?shù)热颂岢鲆环N基于云的計(jì)算機(jī)取證系統(tǒng)的設(shè)計(jì)方案[7]���,主要是在分析和研究云環(huán)境下的安全缺陷和安全威脅的前提下�,利用傳統(tǒng)電子取證技術(shù)解決云環(huán)境的安全問題��,同時(shí)借助云計(jì)算具有的高性能計(jì)算能力來滿足取證工作對(duì)于高性能計(jì)算的需求���;廈門美亞的張超通過對(duì)云計(jì)算環(huán)境下面臨安全問題深入分析���,探討了云計(jì)算環(huán)境下的調(diào)查取證與分析。Keyun等人對(duì)150多位數(shù)字取證專家進(jìn)行了采訪�,列舉出了他們對(duì)云取證領(lǐng)域的一些關(guān)鍵問題的看法,如云取證技術(shù)面臨著哪些挑戰(zhàn)����、帶來了哪些機(jī)遇,有哪些有價(jià)值的研究方向等【8】�。Birk等人從技術(shù)的角度
6、剖析了云取證所面臨的技術(shù)難題【5】��,而Reilly等人則從法律的角度分析了云取證技術(shù)所面臨的法律障礙【9】等等�。以下將從在云取證的各個(gè)方面來探討當(dāng)前的研究現(xiàn)狀。證據(jù)識(shí)別在文獻(xiàn)[10]精彩文檔實(shí)用標(biāo)準(zhǔn)中,作者認(rèn)為�����,由于云計(jì)算系統(tǒng)的攻擊是無聲無息的�,因?yàn)樘囟ㄓ谠频墓舨⒉灰欢〞?huì)在節(jié)點(diǎn)的操作系統(tǒng)上留下痕跡�����,所以傳統(tǒng)的IDS系統(tǒng)對(duì)于云計(jì)算系統(tǒng)是無效的����。因此作者提出了將IDS放置在云計(jì)算架構(gòu)中的上下文中的想法,并且提出了一個(gè)系統(tǒng)原型��,即theGridandCloudComputingIntrusionDetectionSystem(GCCIDS)�����。針對(duì)不同類型的
7�����、云服務(wù)��,相應(yīng)的解決方案也不相同。對(duì)于私有云���,只需將IDS放置在服務(wù)端即可����;而對(duì)于公有云則采用多層架構(gòu):用戶端可以通過IDS監(jiān)視可疑事件���,并向服務(wù)商報(bào)告�,服務(wù)端通過IDS監(jiān)視基礎(chǔ)架構(gòu)�����,以發(fā)現(xiàn)針對(duì)于多數(shù)用戶的大規(guī)模攻擊��。以下是GCCIDS的原型架構(gòu)�����,該系統(tǒng)中包含一個(gè)審計(jì)模塊�����。其中�����,Node:提供服務(wù)的資源節(jié)點(diǎn);Service:提供各種服務(wù)����,以便于各個(gè)組件之間進(jìn)行通信�����;EventAuditor事件審計(jì)器是該系統(tǒng)的關(guān)鍵模塊����,它從不同的資源中抓取數(shù)據(jù),例如日志系統(tǒng)�,服務(wù)和節(jié)點(diǎn)信息等以此來監(jiān)聽各種事件;StorageService:保存用于IDSService分析
8���、的數(shù)據(jù)���。IDSService提供兩種方法來進(jìn)行入侵AnalyzerandAlertSystem
