資源描述:
《面向云環(huán)境的取證技術(shù)研究》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1�����、面向云環(huán)境的取證技術(shù)研究隨著云計(jì)算技術(shù)的迅猛發(fā)展�����,云環(huán)境下的取證技術(shù)成為了當(dāng)前的一個(gè)研究熱點(diǎn)�����。與傳統(tǒng)的數(shù)字取證技術(shù)不同���,云取證所面對(duì)的系統(tǒng)結(jié)構(gòu)更加復(fù)雜、數(shù)據(jù)規(guī)模更加巨大��。就拿一個(gè)小規(guī)模的云來(lái)舉例����,假設(shè)該系統(tǒng)中有2000個(gè)節(jié)點(diǎn),每個(gè)節(jié)點(diǎn)磁盤(pán)空間為320GB,RAM為2GB���,則總的磁盤(pán)取證空間是640TB�����、RAM取證空間為4TB����,即使不考慮節(jié)點(diǎn)間操作系統(tǒng)及文件系統(tǒng)的不同�����,如此龐大的數(shù)據(jù)量是傳統(tǒng)取證技術(shù)無(wú)法勝任的���。因此����,如何從云中獲取完整可靠的證據(jù)數(shù)據(jù)是當(dāng)前云取證研究的難點(diǎn)問(wèn)題【1】�����。具體來(lái)說(shuō)�����,云取證主要面臨以下4大技術(shù)難題。1)?云中數(shù)據(jù)物理存放地點(diǎn)范圍太大����。云數(shù)據(jù)中心由成千上萬(wàn)臺(tái)擁有大容量
2、存儲(chǔ)設(shè)備的PC組成�����,云系統(tǒng)屏蔽了下層數(shù)據(jù)存儲(chǔ)的實(shí)現(xiàn)細(xì)節(jié)�����,只對(duì)用戶(hù)提供一個(gè)邏輯上單一的數(shù)據(jù)存放地址���,因此����,要想獲得云中數(shù)據(jù)的物理存放地址并非易事【2】�����。?2)?云應(yīng)用產(chǎn)生的邏輯上相關(guān)的數(shù)據(jù)可能被分散存放����。云應(yīng)用所產(chǎn)生的數(shù)據(jù)被統(tǒng)一存儲(chǔ)在邏輯上連續(xù)的地址空間中,而這些數(shù)據(jù)的物理存放地址可能并不連續(xù)���,甚至可能被分散在好幾個(gè)不同的存儲(chǔ)設(shè)備中��。3)?待取證數(shù)據(jù)規(guī)模大��,而真正與犯罪相關(guān)的信息很少�����。云中存儲(chǔ)著海量數(shù)據(jù)����,從如此大規(guī)模的數(shù)據(jù)中提取證據(jù)信息有如大海撈針��。就以IaaS模型舉例����,一個(gè)虛擬機(jī)鏡像小則幾GB,大則幾十至幾百GB�����,而存儲(chǔ)在這些鏡像中的關(guān)鍵證據(jù)信息可能就只有幾KB。?4)?云的彈性擴(kuò)展機(jī)制
3���、要求取證能及時(shí)適應(yīng)系統(tǒng)規(guī)模的變化�,即實(shí)現(xiàn)彈性取證【3】�����。彈性擴(kuò)展是云系統(tǒng)的關(guān)鍵特征�����,它能在云應(yīng)用運(yùn)行期間實(shí)現(xiàn)支撐云應(yīng)用的虛擬機(jī)實(shí)例個(gè)數(shù)的動(dòng)態(tài)增加或者減少�。當(dāng)虛擬機(jī)實(shí)例個(gè)數(shù)減少時(shí),若不能及時(shí)提取出殘留在該虛擬機(jī)實(shí)例中的證據(jù)信息�,則這些證據(jù)信息很可能會(huì)丟失,且難以恢復(fù)【4】�����。與傳統(tǒng)的數(shù)字取證技術(shù)相比�,云取證技術(shù)面臨的挑戰(zhàn)主要包括2個(gè)方面。首先����,沒(méi)有成熟的云取證工具供調(diào)查人員使用,云取證活動(dòng)主要依靠調(diào)查人員掌握的傳統(tǒng)的取證技術(shù)及相關(guān)經(jīng)驗(yàn)����,若調(diào)查人員操作不當(dāng)很可能會(huì)破壞原始證據(jù)信息,從而導(dǎo)致取證失敗���。其次��,證據(jù)信息的獲取難度及方法會(huì)隨著云服務(wù)模型及部署模型的不同而不同【5】����。例如�����,相對(duì)于公有云而
4�、言,私有云架構(gòu)更加清晰�、云數(shù)據(jù)的存放節(jié)點(diǎn)地點(diǎn)固定,因此私有云模式下的取證難度遠(yuǎn)小于公有云���;相對(duì)于軟件即服務(wù)?(SaaS,?soft-ware?as?a?service)模型而言��,IaaS模型能提供更多底層的數(shù)據(jù)供調(diào)查人員取證分析��,因此IaaS模型下的取證難度會(huì)小于SaaS模型���。?目前��,國(guó)內(nèi)外學(xué)者對(duì)于云取證的研究進(jìn)行了初步性的探索:中國(guó)政法大學(xué)的李小愷等人主要研究了云計(jì)算環(huán)境下的計(jì)算機(jī)偵查取證問(wèn)題[6]�,從云計(jì)算關(guān)鍵技術(shù)和特點(diǎn)出發(fā)�����,對(duì)計(jì)算機(jī)取證面臨的問(wèn)題進(jìn)行了深入分析����,并提出了相關(guān)對(duì)策;武魯?shù)热颂岢鲆环N基于云的計(jì)算機(jī)取證系統(tǒng)的設(shè)計(jì)方案[7]����,主要是在分析和研究云環(huán)境下的安全缺陷和安全威脅的
5、前提下���,利用傳統(tǒng)電子取證技術(shù)解決云環(huán)境的安全問(wèn)題����,同時(shí)借助云計(jì)算具有的高性能計(jì)算能力來(lái)滿足取證工作對(duì)于高性能計(jì)算的需求����;廈門(mén)美亞的張超通過(guò)對(duì)云計(jì)算環(huán)境下面臨安全問(wèn)題深入分析,探討了云計(jì)算環(huán)境下的調(diào)查取證與分析�。Keyun等人對(duì)150多位數(shù)字取證專(zhuān)家進(jìn)行了采訪,列舉出了他們對(duì)云取證領(lǐng)域的一些關(guān)鍵問(wèn)題的看法�����,如云取證技術(shù)面臨著哪些挑戰(zhàn)�����、帶來(lái)了哪些機(jī)遇�,有哪些有價(jià)值的研究方向等【8】。Birk等人從技術(shù)的角度剖析了云取證所面臨的技術(shù)難題【5】�����,而Reilly等人則從法律的角度分析了云取證技術(shù)所面臨的法律障礙【9】等等���。以下將從在云取證的各個(gè)方面來(lái)探討當(dāng)前的研究現(xiàn)狀���。證據(jù)識(shí)別在文獻(xiàn)[10]中,作
6���、者認(rèn)為����,由于云計(jì)算系統(tǒng)的攻擊是無(wú)聲無(wú)息的,因?yàn)樘囟ㄓ谠频墓舨⒉灰欢〞?huì)在節(jié)點(diǎn)的操作系統(tǒng)上留下痕跡���,所以傳統(tǒng)的IDS系統(tǒng)對(duì)于云計(jì)算系統(tǒng)是無(wú)效的�����。因此作者提出了將IDS放置在云計(jì)算架構(gòu)中的上下文中的想法�,并且提出了一個(gè)系統(tǒng)原型���,即theGridandCloudComputingIntrusionDetectionSystem(GCCIDS)�����。針對(duì)不同類(lèi)型的云服務(wù)���,相應(yīng)的解決方案也不相同。對(duì)于私有云�����,只需將IDS放置在服務(wù)端即可;而對(duì)于公有云則采用多層架構(gòu):用戶(hù)端可以通過(guò)IDS監(jiān)視可疑事件�,并向服務(wù)商報(bào)告,服務(wù)端通過(guò)IDS監(jiān)視基礎(chǔ)架構(gòu)���,以發(fā)現(xiàn)針對(duì)于多數(shù)用戶(hù)的大規(guī)模攻擊。以下是GCCIDS的原型
7�����、架構(gòu)�����,該系統(tǒng)中包含一個(gè)審計(jì)模塊��。其中����,Node:提供服務(wù)的資源節(jié)點(diǎn);Service:提供各種服務(wù)��,以便于各個(gè)組件之間進(jìn)行通信���;EventAuditor事件審計(jì)器是該系統(tǒng)的關(guān)鍵模塊�����,它從不同的資源中抓取數(shù)據(jù)��,例如日志系統(tǒng)����,服務(wù)和節(jié)點(diǎn)信息等以此來(lái)監(jiān)聽(tīng)各種事件;StorageService:保存用于IDSService分析的數(shù)據(jù)��。IDSService提供兩種方法來(lái)進(jìn)行入侵AnalyzerandAlertSystem:基于行為和基于知識(shí)的分
