云計算取證模型

高元照，李學(xué)娟，李炳龍，吳熙曦

?

云計算取證模型

高元照1,2，李學(xué)娟3，李炳龍1,2，吳熙曦4

（1. 信息工程大學(xué)，河南鄭州 450001；2. 數(shù)學(xué)工程與先進計算國家重點實驗室，河南鄭州 450001；3. 河南理工大學(xué)審計處，河南焦作 454010；4. 白城兵器試驗中心，吉林白城 137000）

針對云取證面臨的主要挑戰(zhàn)，分析云計算特性，提出了一種云取證模型。提出了持續(xù)性取證準(zhǔn)備服務(wù)的部署、基于“迭代”的多輪次證據(jù)識別策略和分布式文件系統(tǒng)的多層級數(shù)據(jù)定位方法、基于“數(shù)據(jù)隔離”和“按需收集”策略的證據(jù)收集方法、基于云計算資源的綜合性證據(jù)分析平臺的建立。最后，結(jié)合云環(huán)境下的取證場景，分析了該模型的有效性。

云計算；云取證；取證模型；取證策略；取證方法

1 引言

云計算能夠提供按需、彈性、便捷的網(wǎng)絡(luò)訪問和計算資源，目前已成為IT領(lǐng)域的主流技術(shù)[1,2]。但云計算的快速發(fā)展也使其成為數(shù)字犯罪新的攻擊目標(biāo)。云安全提供商Alert Logic 2015年的云安全報告稱，受到APP攻擊、可疑行為攻擊、暴力破解攻擊的云服務(wù)提供商（CSP，cloud service provider）分別占70%、68%和56%[3]。云計算安全已成為用戶選擇云服務(wù)的主要關(guān)注之一[1,4]。

云計算取證是數(shù)字取證科學(xué)在云環(huán)境中的應(yīng)用，在威懾、打擊云犯罪活動和維護用戶權(quán)益上發(fā)揮著重要作用。2011年6月，我國成立了中國云計算安全政策與法律工作組，并將執(zhí)法取證作為云安全領(lǐng)域的主要研究方向[5]。2013年，云安全聯(lián)盟（CSA，Cloud Security Alliance）發(fā)布的《云計算關(guān)鍵領(lǐng)域安全指南V3.0》[6]也將云取證作為一項關(guān)系云計算發(fā)展的重大問題提出。但由于云計算基礎(chǔ)設(shè)施規(guī)模龐大，服務(wù)種類多樣，并具有分布性、虛擬性和共享性等特點。證據(jù)的識別、收集與分析面臨巨大挑戰(zhàn)。

云取證模型能夠引導(dǎo)取證人員從大量用戶和云服務(wù)數(shù)據(jù)中識別涉案數(shù)據(jù)的范圍，定位以虛擬化或分布式方式存儲數(shù)據(jù)的物理位置，采取合理可行的證據(jù)收集策略與方法，提供大數(shù)據(jù)和云平臺獨有數(shù)據(jù)類型的有效分析方法，對于云取證工作具有重要的指導(dǎo)意義。Ruan等[7]在全球范圍發(fā)起了一項關(guān)于云取證關(guān)鍵問題的調(diào)查，回復(fù)的257位數(shù)字取證專家中，87%認為設(shè)計云取證模型是當(dāng)前云取證研究的主要方向之一。

然而，由于云計算的固有特性，傳統(tǒng)的數(shù)字取證模型多針對單個或少量的計算機或服務(wù)器，難以適用于云環(huán)境。現(xiàn)有的云取證模型多針對云計算的特性和云取證面臨的挑戰(zhàn)進行理論分析，并就其中的部分問題指出某種應(yīng)對方法的必要性與可行性，但沒有真正結(jié)合云取證環(huán)境的復(fù)雜性和取證場景與對象的多樣性，提出綜合性、整體性的取證策略與實施方法，不足以指導(dǎo)云環(huán)境下的取證工作。

本文針對云取證面臨的主要挑戰(zhàn)和云取證模型研究的不足，分析云計算的特性以及由此帶來的云服務(wù)部署模式、攻擊方式、證據(jù)類型及存儲方式等方面的多樣性，建立了一種云取證模型，提出了不同取證階段的任務(wù)、目標(biāo)，以及實現(xiàn)這些目標(biāo)所制定的取證策略與方法，以指導(dǎo)、規(guī)范、監(jiān)督取證人員完成取證工作。最后，結(jié)合云環(huán)境下的案例場景，分析了該模型的有效性。

2 云取證面臨的主要挑戰(zhàn)

云計算能提供對可配置的共享資源池（如網(wǎng)絡(luò)、服務(wù)器、存儲等）快捷、按需的網(wǎng)絡(luò)訪問，能夠以極小的管理負擔(dān)以及與CSP的交互實現(xiàn)資源的快速配置和釋放[8]。云計算具有大規(guī)模、虛擬性、分布性、共享性和高可靠性等固有特性，給云取證帶來了巨大挑戰(zhàn)，是云取證研究需要解決的最主要問題。本節(jié)對云取證面臨的主要挑戰(zhàn)進行詳細介紹。

1) 取證數(shù)據(jù)量大

云計算平臺規(guī)模龐大，并且易于擴展。一方面，大量的結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)并存，并且很多數(shù)據(jù)格式是云計算專有的[9]；另一方面，數(shù)字設(shè)備的數(shù)量和容量增長迅速。識別與安全事件相關(guān)的數(shù)據(jù)并定位其物理存儲位置十分困難[10]。證據(jù)分析面臨巨大負擔(dān)[11]，現(xiàn)有的取證工具在云平臺獨有數(shù)據(jù)格式的分析上存在很大局限性。

2) 數(shù)據(jù)存儲的分布性

云環(huán)境下多采用分布式文件系統(tǒng)（DFS，distributed file system）作為主要的文件系統(tǒng)[12]。DFS分布式的特性導(dǎo)致文件被分割成數(shù)據(jù)塊，存儲在不同的數(shù)據(jù)中心[13]，甚至跨越多個司法管轄范圍[14]。此外，一些DFS（如HDFS）將分割后的塊文件以數(shù)據(jù)塊編號命名，僅從文件名無法判斷文件的類型和歸屬關(guān)系，為可疑人員的追溯與判定帶來了困擾。

3) 不同用戶數(shù)據(jù)存儲的混雜性

虛擬性是云計算的顯著特點之一。在云環(huán)境下，大量用戶共享云的基礎(chǔ)設(shè)施或應(yīng)用，數(shù)據(jù)混雜存儲。由于數(shù)據(jù)存儲的非連續(xù)性和分布性，用戶數(shù)據(jù)的分離困難，收集證據(jù)時可能會摻雜無關(guān)用戶的數(shù)據(jù)，增大數(shù)據(jù)提取量和數(shù)據(jù)分析負擔(dān)。此外，取證人員必須具有充足證據(jù)證明數(shù)據(jù)的所屬關(guān)系[15]，同時保護無關(guān)用戶數(shù)據(jù)的機密性。

4) 證據(jù)易失性

云環(huán)境下數(shù)字證據(jù)的易失性主要體現(xiàn)在刪除數(shù)據(jù)難以恢復(fù)。對于虛擬機（VM，virtual machine）實例，當(dāng)用戶釋放VM后，VM占用的空間將被CSP收回，此時在眾多的云節(jié)點中識別、定位刪除數(shù)據(jù)是很困難的[4,16]。對于其他被刪除的用戶數(shù)據(jù)，將隨著時間的推移被新的數(shù)據(jù)覆蓋，入侵者可利用這一特性銷毀證據(jù)。

5) 證據(jù)監(jiān)管鏈維護困難

證據(jù)監(jiān)管鏈（chain of custody）在取證過程中十分重要，它需要清晰地表明證據(jù)是如何被收集、分析和保存的，以確保證據(jù)在法庭中可以被接受[17]。由于取證人員對云平臺中數(shù)據(jù)的物理控制能力下降，取證過程對CSP有依賴性，但無法證實 CSP是否提供真實可信的數(shù)據(jù)，并且云取證過程可能涉及多個司法管轄范圍的取證人員，導(dǎo)致證據(jù)監(jiān)管鏈的維護困難[18,19]。

6) 時間線重建復(fù)雜

時間線的重建是重構(gòu)完整犯罪過程的關(guān)鍵，但從不同系統(tǒng)中獲取的時間戳不一定完全同步。在云環(huán)境下，一方面，同一用戶（或云服務(wù)）的數(shù)據(jù)可能存儲在不同的地理區(qū)域，這些區(qū)域處于不同的時區(qū)[4,20]；另一方面，VM時間戳容易受到VM運行狀態(tài)變化等因素的影響，產(chǎn)生時間漂移，增加正確分析時間戳的復(fù)雜性。此外，不同文件系統(tǒng)時間戳的更新規(guī)則也不完全相同[21]。

3 云計算取證模型

3.1 術(shù)語定義

CSP：云服務(wù)提供商，具有對云平臺中所有數(shù)據(jù)的控制權(quán)。

損失方代表LPR：損失方可能是CSP本身或用戶。損失方的加入能夠?qū)θ∽C過程進行監(jiān)督。由于涉及用戶可能較多，選擇出若干人員作為監(jiān)督代表，即LPR。

取證數(shù)據(jù)中心FDC：集中存儲收集及分析得出的數(shù)據(jù)，確保數(shù)據(jù)的完整性。

證據(jù)分析平臺EAP：利用云計算的資源搭建的專門用于證據(jù)分析的綜合性平臺，要求具有良好的可擴展性，能夠?qū)崿F(xiàn)多種數(shù)據(jù)分析框架和取證工具的部署、開發(fā)。

3.2 取證模型

本文提出的云取證模型如圖1所示。該模型分為5個階段：取證準(zhǔn)備、證據(jù)識別、證據(jù)收集、證據(jù)分析和報告。其中，取證準(zhǔn)備服務(wù)由CSP部署，而后4個階段由取證人員完成。本節(jié)對各階段采取的取證策略與方法進行詳細說明。此外，本模型假設(shè)在取證工作開始時，發(fā)生安全事件的云服務(wù)是已知的，設(shè)為s。

3.2.1 取證準(zhǔn)備

針對云平臺數(shù)據(jù)的易失性，同時預(yù)防潛在證據(jù)在取證開始前受到攻擊人員或惡意內(nèi)部人員的破壞[23]，在普通云服務(wù)正常工作的同時，本模型提出部署實時的取證準(zhǔn)備服務(wù)，將對取證具有關(guān)鍵作用、易受破壞的數(shù)據(jù)持續(xù)地存儲到取證數(shù)據(jù)中心，同時確保不產(chǎn)生過多的傳輸和存儲開銷。本模型選擇如下2種數(shù)據(jù)：云存儲元數(shù)據(jù)和VM管理數(shù)據(jù)。

云存儲維護著大量的用戶數(shù)據(jù)，是重要的證據(jù)來源。元數(shù)據(jù)記錄了數(shù)據(jù)對象在云存儲中的產(chǎn)生和存儲過程，以及訪問權(quán)限和時間戳等信息，具有還原事件時間線、追溯犯罪嫌疑人的作用[24]。針對被刪除文件，保留其在取證數(shù)據(jù)中心的元數(shù)據(jù)，能夠作為該文件曾經(jīng)存在的證據(jù)和識別定位的依據(jù)。若用戶數(shù)據(jù)與CSP沒有直接利益關(guān)系，潛在證據(jù)可能受到惡意CSP的刪除、篡改或偽造，對元數(shù)據(jù)的實時預(yù)留能有效支持證據(jù)存在性和真實性的判定。此外，一些DFS采用集中管理的方式存儲元數(shù)據(jù)（如HDFS、GFS、Lustre等），相比于實際數(shù)據(jù)，元數(shù)據(jù)更易于獲取，并且存儲開銷較小。

VM在云環(huán)境下廣泛應(yīng)用，既是犯罪人員主要的攻擊目標(biāo)，也是其利用云資源實施犯罪行為的主要手段[23,25,26]。VM管理數(shù)據(jù)包括VM網(wǎng)絡(luò)日志、安全日志、運行日志和配置信息等。這些數(shù)據(jù)可用于重構(gòu)VM的行為、定位VM位于的物理節(jié)點，其對于VM的取證作用與云存儲元數(shù)據(jù)對于云存儲的作用是類似的。VM管理數(shù)據(jù)部分存儲在VM內(nèi)部，可通過虛擬機管理器（VMM，virtual machine monitor）進行獲取。

圖1 云取證模型

3.2.2 證據(jù)識別

云取證環(huán)境的大規(guī)模、多層次性和攻擊方式的多樣性增大了證據(jù)識別的復(fù)雜性，同時，頻繁的數(shù)據(jù)交互要求證據(jù)識別的時效性，以防止證據(jù)發(fā)生變化。因此，本模型首先提出4條識別策略，明確不同取證場景下的證據(jù)識別范圍，提高識別的完備性。針對數(shù)據(jù)存儲的混雜性，對于已識別的數(shù)據(jù)，提出精確定位其物理位置的方法，確保將數(shù)據(jù)歸屬到特定用戶。

1) 層次化的證據(jù)范圍識別

依據(jù)s所屬的服務(wù)模式及其建立方式確定基本的證據(jù)范圍。例如，云平臺中的Web服務(wù)可能是由CSP提供的SaaS服務(wù)，也可能是公司基于PaaS平臺或IaaS基礎(chǔ)設(shè)施建立的服務(wù)。不同模式的服務(wù)間存在內(nèi)部關(guān)聯(lián)，不能依據(jù)服務(wù)模式簡單限定證據(jù)類型。如果Web服務(wù)基于IaaS搭建，則證據(jù)數(shù)據(jù)表現(xiàn)為整個VM實例，而不只是Web服務(wù)相關(guān)的數(shù)據(jù)。本模型將云平臺數(shù)據(jù)從上至下分為6個層次：SaaS服務(wù)的用戶數(shù)據(jù)、SaaS或PaaS服務(wù)自身的數(shù)據(jù)、VM映像、VMM數(shù)據(jù)、物理機數(shù)據(jù)、基礎(chǔ)設(shè)施信息。依據(jù)犯罪場景的差異，取證人員可對不同層次的數(shù)據(jù)以及同層次中的不同數(shù)據(jù)對象進行選擇。

2) 分析攻擊方式多樣性，擴展識別對象

綜合考慮多種可能的攻擊來源以及云環(huán)境下獨特的攻擊方法，擴展數(shù)據(jù)識別對象。對于同樣的犯罪目的，取證人員一方面需要考慮攻擊來自外部人員、惡意內(nèi)部員工或由用戶租用VM實施的可能性；另一方面需要考慮攻擊者采用常規(guī)手段以及利用云平臺的自身特性實施犯罪的可能性。例如，一個VM實例能夠通過邊信道攻擊從與其處于同一物理機的其他VM中竊取信息[26]，該VM實例本身也可能受到了入侵。綜合2個方面，取證人員可將取證對象擴展到云服務(wù)的管理員、同一物理節(jié)點上的其他VM、物理機等。

3) 網(wǎng)絡(luò)通信記錄識別

識別與s所在物理節(jié)點或VM相關(guān)的網(wǎng)絡(luò)通信記錄。網(wǎng)絡(luò)通信記錄是攻擊者溯源和事件還原的重要依據(jù)，包括云平臺內(nèi)部和外部2個方面，主要分為以下5類：①服務(wù)的訪問記錄；②不同云服務(wù)之間出于管理、協(xié)作等目的的通信記錄；③單一云服務(wù)內(nèi)部不同節(jié)點間的交互記錄；④服務(wù)所在節(jié)點的登錄記錄，如SSH登錄；⑤郵件。根據(jù)服務(wù)的工作特點和異常狀態(tài)的差異，取證人員可以選擇不同的數(shù)據(jù)。

4) 基于“迭代”思想的多輪次證據(jù)識別

由于云服務(wù)的大規(guī)模和攻擊手段的多樣性，一次性識別所有涉案數(shù)據(jù)是不現(xiàn)實的。本模型采用迭代策略，將本輪次的數(shù)據(jù)分析結(jié)果用作下一輪次證據(jù)識別的線索，并權(quán)衡證據(jù)的識別范圍與數(shù)量。首輪當(dāng)中，主要識別s自身產(chǎn)生的數(shù)據(jù)，可依據(jù)s的異常狀態(tài)，從磁盤、內(nèi)存和網(wǎng)絡(luò)3個方面限定主要的證據(jù)類型和識別范疇。分析上述數(shù)據(jù)，判斷可能的攻擊類型，發(fā)現(xiàn)可疑的用戶訪問，在第二輪次中，識別s中可疑用戶產(chǎn)生的數(shù)據(jù)，并以s為中心，從s所在節(jié)點、云內(nèi)部和外部節(jié)點3個方向識別可疑人員與s有關(guān)的數(shù)據(jù)交互痕跡，如與s的通信記錄、緩存文件等。分析上述數(shù)據(jù)，在第三輪次中，進一步縮小證據(jù)的識別范圍，同時擴大范圍內(nèi)數(shù)據(jù)的收集量，如映像整個磁盤。通過多個輪次的證據(jù)識別，取證人員能夠不斷提升證據(jù)識別的精確性和完備性。此外，除首輪外，其他輪次需要補充上一輪次遺漏的數(shù)據(jù)。

本模型將數(shù)據(jù)的存儲位置劃分為3個層次：數(shù)據(jù)中心、物理節(jié)點和文件系統(tǒng)數(shù)據(jù)塊。一個CSP通常擁有眾多數(shù)據(jù)中心。受到攻擊的數(shù)據(jù)中心是已知的，但識別的相關(guān)數(shù)據(jù)可能存儲在其他數(shù)據(jù)中心。此時，可通過分析網(wǎng)絡(luò)通信記錄在下一輪迭代中對相關(guān)數(shù)據(jù)中心進行定位。

物理節(jié)點和底層數(shù)據(jù)塊的識別主要面臨云計算的虛擬性和分布性。VM作為具有操作系統(tǒng)的運行實體，并不建立在DFS上，但DFS可以基于多個VM搭建。對于虛擬磁盤、內(nèi)存等VM數(shù)據(jù)的獲取，通常只涉及對其所在物理節(jié)點的定位?；谌∽C準(zhǔn)備階段存儲的VM管理數(shù)據(jù)能夠?qū)崿F(xiàn)；對于DFS中的文件，本模型提出一種基于三級映射的文件定位方法，以獲取文件本地數(shù)據(jù)塊的地址。本文將DFS從上至下劃分為4個層次：DFS命名空間、DFS存儲空間、本地文件系統(tǒng)命名空間及其存儲空間。本地文件系統(tǒng)指組成DFS的各存儲節(jié)點自身的文件系統(tǒng)。由于DFS存儲分配單元在本地存儲節(jié)點中通常以文件的形式存在，DFS文件到存儲節(jié)點數(shù)據(jù)塊的映射分可劃為3個層級：DFS命名空間與存儲單元間的映射、DFS存儲單元與本地存儲節(jié)點間的映射，以及本地文件系統(tǒng)命名空間與存儲單元間的映射。存儲節(jié)點可能是物理機或VM，若為前者，則定位過程結(jié)束；若為后者，取證人員還需定位VM所在的物理節(jié)點。

3.2.3 證據(jù)收集

由于云服務(wù)器時刻保持著大量的用戶訪問，并且內(nèi)存等實時數(shù)據(jù)只能在運行狀態(tài)下獲取，證據(jù)收集必須在云平臺正常運行的狀態(tài)下進行。為防止已識別的數(shù)據(jù)繼續(xù)變化或被刪除、篡改，首先采用“數(shù)據(jù)隔離”策略，立即對VM實例或其他直接存儲在物理節(jié)點上的數(shù)據(jù)進行隔離，確保原始數(shù)據(jù)在授權(quán)的證據(jù)收集前不再被任何人員訪問。隔離工作可利用云計算自身的數(shù)據(jù)多備份、計算節(jié)點遷移等機制，將云服務(wù)新產(chǎn)生的數(shù)據(jù)或無關(guān)VM實例重新存儲到其他節(jié)點。不對已識別數(shù)據(jù)進行遷移，能夠防止遷移過程中數(shù)據(jù)的遺失或損壞。

針對云平臺的數(shù)據(jù)量大，并且不同用戶的數(shù)據(jù)混雜存儲的客觀情況，本模型提出“按需收集”策略，依據(jù)識別的數(shù)據(jù)物理位置，采用細粒度的數(shù)據(jù)收集方法，防止提取過多無關(guān)數(shù)據(jù)，在提升取證效率的同時，維護無關(guān)用戶的數(shù)據(jù)隱私。此外，云平臺在取證過程中新產(chǎn)生的數(shù)據(jù)可能具有一定的取證價值[24]。例如，引起安全事件的用戶在取證過程中可能仍存在違法行為。因此，取證人員要“按需”收集遷移到其他節(jié)點中的數(shù)據(jù)。

本模型依據(jù)云計算的虛擬性將證據(jù)收集對象劃分為兩類：VM和物理機。它們主要的動態(tài)數(shù)據(jù)是內(nèi)存，靜態(tài)數(shù)據(jù)是文件。文件系統(tǒng)包括單磁盤文件系統(tǒng)（如NTFS）和DFS（如HDFS）。

物理機的內(nèi)存映像可通過傳統(tǒng)的工具進行獲取，因為云計算并沒有創(chuàng)造新的操作系統(tǒng)，仍然采用Linux、Windows等操作系統(tǒng)。但若物理機中運行有VM，只獲取相關(guān)VM的內(nèi)存數(shù)據(jù)更符合“按需”策略。VM由VMM進行管理，其內(nèi)存映像可通過VMM獲取。取證人員需要先通過VM的掛起機制凍結(jié)VM系統(tǒng)，然后進行數(shù)據(jù)收集，以阻止內(nèi)存數(shù)據(jù)變化。

對于文件的收集，本模型采取繞過文件系統(tǒng)命名空間，直接提取磁盤底層數(shù)據(jù)塊的方式，防止對文件的時間戳等邏輯特性造成影響。單磁盤文件系統(tǒng)命名空間與存儲空間的映射相對簡單；DFS文件可以通過三級映射方法定位它的本地數(shù)據(jù)塊地址。對于VM中的文件（包括整個的虛擬磁盤），取證人員可通過VMM對數(shù)據(jù)塊進行收集、重組。對于物理機上的文件（包括整個VM映像），本模型提出通過一種數(shù)據(jù)塊的只讀API進行收集。API的設(shè)計需要能直接從不同節(jié)點的底層數(shù)據(jù)塊中進行文件的提取和重組。本模型不通過取證工具進行文件收集，一是因為它們在DFS數(shù)據(jù)收集中的局限性，二是由于目前沒有權(quán)威機構(gòu)對“使用取證工具獲取文件是否對文件的邏輯特性造成影響”進行證明，而直接獲取整個磁盤映像違背“按需收集”策略。

1) CSP、取證人員和LPR都不能刪除或修改已存儲的數(shù)據(jù)（除非超過最大存儲時限）。

2) 普通用戶不具有對取證數(shù)據(jù)中心的任何訪問權(quán)限。

3) 分析結(jié)果條目在存儲時必須能夠表明自身與已存在的數(shù)據(jù)條目之間的關(guān)聯(lián)。

3.2.4 證據(jù)分析

云平臺的數(shù)據(jù)量大，格式多樣，并且一些數(shù)據(jù)格式是云平臺獨有的。通過少量常規(guī)的取證工具或人工分析不能確保數(shù)據(jù)的有效分析。本模型利用云計算的存儲和計算資源，建立證據(jù)分析平臺，以滿足數(shù)據(jù)分析的存儲和效率需求。面向不同的分析對象，分析平臺主要包含兩大數(shù)據(jù)處理模塊：Hadoop分布式并行處理框架和綜合性的數(shù)據(jù)分析工具庫，如圖2所示。證據(jù)分析平臺的數(shù)據(jù)從取證數(shù)據(jù)中心獲得，二者之間通過專門的安全通道傳輸數(shù)據(jù)。

圖2 證據(jù)分析平臺框架

面對巨大的數(shù)據(jù)量，很多研究機構(gòu)已經(jīng)從“分析所有數(shù)據(jù)以確保不遺漏任何內(nèi)容”的取證思路轉(zhuǎn)變?yōu)楦嗟匾蕾囉谥悄芊椒╗27]。本模型采用Hadoop和智能數(shù)據(jù)分析算法結(jié)合的方式，分析云服務(wù)日志等非結(jié)構(gòu)化或半結(jié)構(gòu)化的數(shù)據(jù)。Hadoop的主要組件MapReduce是一種數(shù)據(jù)并行處理的編程模型，具體的數(shù)據(jù)分析程序由開發(fā)人員實現(xiàn)。生成的程序存儲在圖2中的算法庫中，由取證人員調(diào)用?；谠撃Ｊ?，取證人員能夠深度挖掘云服務(wù)內(nèi)部各組件的行為特點、多種日志中記載的事件之間的關(guān)聯(lián)和順序、文件系統(tǒng)的活動特征等，同時提高數(shù)據(jù)的分析效率。

目前，本模型針對文件系統(tǒng)MAC時間戳，基于文件系統(tǒng)行為隨機模型的思想[21]，分析特定文件系統(tǒng)MAC時間戳的更新規(guī)則，對文件系統(tǒng)活動表現(xiàn)出的特征進行建模，提出基于MapReduce對出現(xiàn)上述活動的文件數(shù)量及所占比例、異?；顒铀鶎俚挠脩簦ɑ驊?yīng)用）等信息進行量化分析的方法。由于從不同系統(tǒng)中獲取的時間戳可能不完全同步，在分析之前，取證人員首先要建立統(tǒng)一的時間標(biāo)準(zhǔn)，將獲取的時間戳轉(zhuǎn)化為標(biāo)準(zhǔn)時間。

針對具有復(fù)雜結(jié)構(gòu)的數(shù)據(jù)，本模型從2個方面建立綜合性的取證工具庫。一是針對常見的磁盤、內(nèi)存、網(wǎng)絡(luò)數(shù)據(jù)包等數(shù)據(jù)格式，部署現(xiàn)有取證工具（如FTK、EnCase、volatility等）。搭建取證工具需要的運行環(huán)境，并統(tǒng)一管理，以便于不同工具間的協(xié)作與對比。二是針對云平臺獨有的數(shù)據(jù)格式，一方面采用云平臺自身的數(shù)據(jù)處理工具，另一方面開發(fā)新的分析工具。利用云平臺自身的工具是最高效的方式，但由于環(huán)境限制或CSP不提供而無法實現(xiàn)，開發(fā)對應(yīng)的數(shù)據(jù)分析工具是必要的。工具庫可由CSP進行管理，對已安裝的取證工具進行定期維護與更新，并對新開發(fā)的取證工具進行測試與擴展。

分析工具的輸出可作為Hadoop的輸入進行進一步的處理。例如，MAC時間戳是從文件系統(tǒng)的元數(shù)據(jù)中提取的，元數(shù)據(jù)的預(yù)處理需要由分析工具完成。Hadoop的輸出也可作為分析工具的數(shù)據(jù)來源。為便于Hadoop框架與工具庫的協(xié)作，在兩者之間設(shè)置數(shù)據(jù)通道，以實現(xiàn)自動化的數(shù)據(jù)交互。

數(shù)據(jù)分析的輸出結(jié)果可能不夠直觀，本模型采用數(shù)據(jù)可視化方法，借助于圖形化手段，傳達數(shù)據(jù)的關(guān)鍵方面與特征。取證人員通常只使用可視化工具的功能而不負責(zé)工具的開發(fā)。因此，綜合使用開源的數(shù)據(jù)分析工具與智能化的可視化工具能更好地展示證據(jù)。本模型主要利用Graphviz實現(xiàn)可視化。Graphviz是一種開源的基于代碼生成圖像的可視化工具[28]，能夠通過編程批量處理同類數(shù)據(jù)，清晰展示數(shù)據(jù)集中的特殊元素，并且能夠以子進程調(diào)用的方式運行，便于嵌入數(shù)據(jù)分析工具，取證人員可根據(jù)展示需求，將主要精力放在數(shù)據(jù)的處理上。Graphviz支持Windows、Linux、Mac等多種操作系統(tǒng)，并具有Java、Phtyon、Perl等多種語言的調(diào)用接口，實用性較強[29]。

3.2.5 報告

在該階段，證據(jù)以報告或證言的形式提交給司法部門?？紤]到司法人員通常只擁有基本的計算機知識[4,20]，取證人員需要以簡單明了的方式向司法部門介紹云計算、云取證的概念以及在取證過程中運用的技術(shù)手段。

報告應(yīng)當(dāng)條理清晰，涵蓋取證的所有階段，詳細闡述證據(jù)是如何識別、收集、存儲和分析的，確保整個取證過程的可重復(fù)性，便于司法人員對存在疑問的取證操作在同樣條件下進行驗證；在整個過程中，證據(jù)的完整性沒有遭到破壞，證據(jù)監(jiān)管鏈能夠完整地建立；以直觀的方式展示證據(jù)的分析結(jié)果，能夠?qū)Πl(fā)生的違法行為進行證明，對犯罪人員進行追責(zé)，并重構(gòu)事件的整個過程。

4 云取證模型評估

結(jié)合云環(huán)境下的案例場景，本節(jié)對所提模型各階段的取證策略與方法的有效性進行理論分析，并與相關(guān)工作進行對比。

4.1 云環(huán)境下的案例場景

圖3 云環(huán)境下的案例場景

4.2 模型有效性分析

若采用傳統(tǒng)的數(shù)字取證模型，由于案件涉及的用戶量和數(shù)據(jù)量大，數(shù)據(jù)存儲具有虛擬性、共享性和分布性，并且資源的回收和再分配頻繁，證據(jù)的識別和收集工作難以開展。當(dāng)前的取證工具無法有效分析“大證據(jù)”、DFS或云平臺獨有的數(shù)據(jù)格式[9]。針對云取證面臨的主要挑戰(zhàn)，本模型的有效性主要體現(xiàn)在以下5個方面。

1)實時取證準(zhǔn)備服務(wù)的部署

CSP通常只備份用戶或服務(wù)數(shù)據(jù)，而云存儲元數(shù)據(jù)和VM管理數(shù)據(jù)沒有進行專門的預(yù)留和保護。傳統(tǒng)數(shù)字取證模型提出的取證準(zhǔn)備工作主要是保證取證的人力物力資源，而非關(guān)鍵數(shù)據(jù)的預(yù)留[30,31]。文獻[23]主要針對VM分析了數(shù)據(jù)易失性，但沒有提出明確的數(shù)據(jù)預(yù)留對象。

2)“迭代”策略和DFS多層級數(shù)據(jù)定位方法

3)“數(shù)據(jù)隔離”和“按需收集”策略

針對云環(huán)境下用戶和取證人員對數(shù)據(jù)的物理控制權(quán)限下降的客觀狀況，首先采用“數(shù)據(jù)隔離”策略，確保原始數(shù)據(jù)不再變化或受到刪除、篡改等破壞。本模型采取遷移無關(guān)數(shù)據(jù)或VM實例的“隔離”方法，文獻[33]則對涉案VM實例進行遷移，可能造成數(shù)據(jù)在傳輸過程中的破壞。

4) 基于云資源的綜合性證據(jù)分析平臺的構(gòu)建

針對涉案數(shù)據(jù)量大且格式多樣的問題，基于云計算的資源構(gòu)建由Hadoop框架和綜合性取證工具庫組成的證據(jù)分析平臺，并建立了二者之間的數(shù)據(jù)交互通道，使Hadoop能夠?qū)FS等具有復(fù)雜結(jié)構(gòu)的數(shù)據(jù)進行分割處理。在工具庫的建設(shè)上，支持云平臺自帶的數(shù)據(jù)分析工具的動態(tài)擴展，以提高云平臺獨有數(shù)據(jù)格式的處理能力。

基于傳統(tǒng)的數(shù)字取證模型和方法，只能解決單機環(huán)境與云環(huán)境所共有的證據(jù)類型的分析問題，難以對大數(shù)據(jù)或云平臺獨有的數(shù)據(jù)格式進行有效分析。當(dāng)前運用Hadoop進行的文件系統(tǒng)分析多是文件信息統(tǒng)計[35]或模式匹配[36]等簡單處理，缺乏對文件系統(tǒng)活動進行更深層次的取證分析。

此外，可視化是大數(shù)據(jù)分析結(jié)果展示的要點，本模型采用Graphviz等智能化的可視化工具對數(shù)據(jù)分析結(jié)果進行可視化，而傳統(tǒng)的數(shù)字取證模型或現(xiàn)有的云取證模型一般沒有提及分析結(jié)果可視化的問題[23,24,30,31,34]。

5) 證據(jù)完整性和證據(jù)監(jiān)管鏈的維護

在云平臺中，數(shù)據(jù)的存儲與傳輸環(huán)境開放，證據(jù)的完整性易于受到破壞。本模型在取證過程中的各階段提出證據(jù)完整性的保護措施。

①證據(jù)識別后到證據(jù)收集前：識別涉案數(shù)據(jù)后，立即采取“隔離”策略，防止數(shù)據(jù)在收集前繼續(xù)變化或被破壞。

②證據(jù)收集及存儲階段：證據(jù)的收集過程由LPR監(jiān)督，獲取的數(shù)據(jù)需由LPR簽名，防止數(shù)據(jù)篡改或偽造。此外，取證數(shù)據(jù)中心禁止對已存儲數(shù)據(jù)的修改。

③證據(jù)分析及分析結(jié)果存儲階段：證據(jù)的分析過程由LPR監(jiān)督，分析結(jié)果由LPR簽名，并且必須與已存在的數(shù)據(jù)條目建立關(guān)聯(lián)，確保數(shù)據(jù)分析過程可重復(fù)驗證，防止惡意取證人員偽造分析結(jié)果。

④取證數(shù)據(jù)的傳輸：取證過程中收集的數(shù)據(jù)和分析結(jié)果在網(wǎng)絡(luò)中傳輸時，都是經(jīng)過LPR簽名的，能夠?qū)ζ渫暾赃M行檢驗。

5 結(jié)束語

云計算的大規(guī)模、虛擬性和分布性等固有特性導(dǎo)致傳統(tǒng)的數(shù)字取證模型和方法在云環(huán)境下存在很大的局限性。證據(jù)的識別、收集和分析面臨巨大挑戰(zhàn)，證據(jù)監(jiān)管鏈難以維護。本文針對云取證面臨的主要挑戰(zhàn)和當(dāng)前云取證模型研究的不足，分析云計算特性，提出了一種包含5個階段的云取證模型。該模型綜合運用面向云特性的取證策略與方法、傳統(tǒng)的取證手段、CSP的數(shù)據(jù)控制權(quán)限和云計算的資源，以指導(dǎo)云環(huán)境下的取證工作。最后，本文結(jié)合云環(huán)境下的案例場景，分析了模型的有效性。

在未來工作中，將聯(lián)合云服務(wù)提供商和司法部門，在真實的云環(huán)境下檢驗本文模型的可行性與有效性，并對模型進一步完善。

[1] PASQUALE L, HANVEY S, MCGLOIN M, et al. Adaptive evidence collection in the cloud using attack scenarios[J]. Computers & Security, 2016, 59(6): 236-254.

[2] 林闖, 蘇文博, 孟坤, 等. 云計算安全:架構(gòu)、機制與模型評價[J]. 計算機學(xué)報, 2013, 36(9): 1765-1784.

LIN C, SU W B, MENG K, et al. Cloud computing security: architecture, mechanism, and modeling[J]. Chinese Jourral of Cornputer, 2013, 36(9): 1765-1784.

[3] SALINAS S, LEE M, COTY S, et al. Cloud security report 2015[R]. Houston: Alter Logic, 2015.

[4] SIMOUS S, KALLONIATIS C, KAVAKLI E, et al. Cloud forensics: identifying the major issues and challenges[J]. Lecture Notes in Computer Science, 2014, 8484:271-284.

[5] 中國云計算安全政策與法律藍皮書（2014）[EB/OL]. http://www. infseclaw.net/news/html/841.html.

Cloud computing security policies and laws blue book of China (2014) [EB/OL]. http://www.infseclaw.net/news/html/841.html.

[6] ARCHER J, CULLIANCE D, PUHLMANN N, et al. Security guidance for critical areas of focus in cloud computing v3.0[R]. St Petersburg: Cloud Security Alliance, 2011.

[7] RUAN K, CARTHY J, KECHADI T, et al. Cloud forensics definitions and critical criteria for cloud forensic capability: an overview of survey results[J]. Digital Investigation, 2013, 10(1): 34-43.

[8] MELL P, GRANCE T. The NIST definition of cloud computing[R]. Gaithersburg: NIST, 2011.

[9] 楊澤明, 劉寶旭, 許榕生. 數(shù)字取證研究現(xiàn)狀與發(fā)展態(tài)勢[J]. 科研信息化技術(shù)與應(yīng)用, 2015, 6(1):3-11.

YANG Z M, LIU B X, XU R S. Current situation and trend of digital forensics research[J]. e-Science Technology & Application, 2015, 6(1):3-11.

[10] PICHAN A, LAZARESCU M, SOH S T. Cloud forensics: technical challenges, solutions and comparative analysis[J]. Digital Investigation, 2015, 13: 38-57.

[11] QUICK D, CHOO K K R. Impacts of increasing volume of digital forensic data: A survey and future research challenges[J]. Digital Investigation, 2014, 11(4): 273-294.

[12] MARTINI B, CHOO K K R. Distributed filesystem forensics: XtreemFS as a case study[J]. Digital Investigation, 2014, 11(4): 295-313.

[13] SIBIYA G, VENTER H S, FOGWILL T. Digital forensics in the cloud: the state of the art[C]//2015 IST-Africa Conference. 2015: 1-9.

[14] ALEX M E, KISHORE R. Forensics framework for cloud computing[J]. Computers & Electrical Engineering, 2017, 60(4): 193-205.

[15] ZAWOAD S, DUTTA A K, HASAN R. SecLaaS: secure logging-as-a-service for cloud forensics[C]//The 8th ACM SIGSAC Symposium on Information, Computer and Communications Security. 2013: 219-230.

[16] BIRK D, WEGENER C. Technical issues of forensic investigations in cloud computing environments[C]//The 2011 IEEE 6th International Workshop on Systematic Approaches to Digital Forensic Engineering. 2011: 1-10.

[17] VACCA J R. Computer forensics: computer crime scene investigation[M]. Hingham: Charles River Media, 2013.

[18] GRISPOS G, STORER T, GLISSON W. Calm before the storm: the challenges of cloud computing in digital forensics[J]. International Journal of Digital Crime and Forensics, 2012, 4(2): 28-48.

[19] TAYLOR M, HAGGERTY J, GRESTY D, et al. Digital evidence in cloud computing systems[J]. Computer Law & Security Report, 2010, 26(3): 304-308.

[20] ALQAHTANY S, CLARKE N, FURNELL S, et al. A forensic acquisition and analysis system for IaaS[J]. Cluster Computing, 2016, 19(1): 439-453.

[21] GRIER J. Detecting data theft using stochastic forensics [J]. Digital Investigation, 2011, 8: S71-S77.

[22] PUTHAL D, SAHOO B P S, MISHRA S, et al. Cloud Computing Features, Issues, and Challenges: A Big Picture[C]//The International Conference on Computational Intelligence & Networks, 2015:116-123.

[23] ZAWOAD S, HASAN R, SKJELLUM A. OCF: an open cloud forensics model for reliable digital forensics[C]//2015 IEEE 8th International Conference on Cloud Computing (CLOUD). 2015: 437-444.

[24] MARTINI B, CHOO K K R. An integrated conceptual digital forensic framework for cloud computing[J]. Digital Investigation, 2012, 9(2): 71-80.

[25] 謝亞龍，丁麗萍，林渝淇，等. ICFF: 一種IaaS模式下的云取證框架[J]. 通信學(xué)報, 2013, 34(5): 200-206.

XIE Y L, DING L P, LIN Y Q, et al. ICFF: a cloud forensics framework under the IaaS model[J]. Journal on Communications, 2013, 34(5): 200-206.

[26] RISTENPART T, TROMER E, SHACHAM H, et al. Hey, you, get off of my cloud: exploring information leakage in third-party compute clouds[C]//ACM Conference on Computer and Communications Security. 2009:199-212.

[27] FAHDI M A, CLARKE N L, LI F, et al. A suspect-oriented intelligent and automated computer forensic analysis[J]. Digital Investigation, 2016, 18:65-76.

[28] Using graphviz as a library (cgraph version)[EB/OL]. http:// graphviz. org/pdf/ libguide.pdf.

[29] Documentation[EB/OL].http://www.graphviz.org/Documentation. php.

[30] REITH M, CARR C, GUNSCH G. An examination of digital forensic models[J]. International Journal of Digital Evidence, 2002, 1(3):1-12.

[31] 丁麗萍, 王永吉. 多維計算機取證模型研究[J]. 信息網(wǎng)絡(luò)安全, 2005(11):5-9.

DINH L P, WANG Y J. Multi-dimension forensics model research[J]. NeTINFO Security, 2005(11):5-9.

[32] TRENWITH P M, VENTER H S. A digital forensic model for providing better data provenance in the cloud[C]//The Information Security for South Africa. 2014: 1-6.

[33] 周剛. 云計算環(huán)境中面向取證的現(xiàn)場遷移技術(shù)研究[D]. 武漢: 華中科技大學(xué), 2011.

ZHOU G. Research on forensics-oriented site migration technology in cloud computing environment[D]. Wuhan: Huazhong University of Science and Technology, 2011.

[34] SIMOUS S, KALLONIATIS C, MOURATIDIS H, et al. Towards the development of a cloud forensics methodology: a conceptual model[J]. Lecture Notes in Business Information Processing, 2015, 215:470-481.

[35] LIM S H. Implementation of MapReduce model for disk forensic computing analysis[J]. Lecture Notes in Electrical Engineering, 2012, 164:577-584.

[36] POVAR D, SAIBHARATH, GEETHAKUMARI G. Real-time digital forensic triaging for cloud data analysis using MapReduce on Hadoop framework[J]. International Journal of Electronic Security & Digital Forensics, 2014, 7(2): 119-133.

Cloud computing forensic model

GAO Yuan-zhao1,2, LI Xue-juan3, LI Bing-long1,2, WU Xi-xi4

（1. Information Engineering University, Zhengzhou 450001, China;2. State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450001, China;3. Audit Department of Henan Polytechnic University, Jiaozuo 454010, China;4. Baicheng Weapon Testing Center, Baicheng 137000, China）

Aiming at the main challenges facing cloud forensics, cloud characteristics were analyzed and a cloud forensic model was proposed. In the model, the deployment of persistent forensic readiness service, multi-round identification strategy based on “iteration” and multi-level evidence location method for distributed file system, “data isolation” and “on-demand collection” strategies, and the establishment of comprehensive evidence analysis platform based on cloud resources were presented. Finally, the validity of the model was analyzed combining the forensic scene in the cloud environment.

cloud computing, cloud forensics, forensic model, forensic strategy, forensic method

TP311

A

10.11959/j.issn.2096-109x.2017.00194

2017-08-02；

2017-09-04；

李炳龍，lbl2017@163.com

國家高技術(shù)研究發(fā)展計劃（“863”計劃）基金資助項目（No.2015AA016006）；國家自然科學(xué)基金資助項目（No.60903220）

The National High Technology Research and Development Program of China (863 Program) (No.2015AA016006), The National Natural Science Foundation of China (No. 60903220)

高元照（1992-），男，河北衡水人，信息工程大學(xué)博士生，主要研究方向為云計算取證。

李學(xué)娟（1974-），女，河南衛(wèi)輝人，河南理工大學(xué)工程師，主要研究方向為控制理論與控制工程。

李炳龍（1974-），男，河南衛(wèi)輝人，博士，信息工程大學(xué)副教授，主要研究方向為數(shù)字取證。

吳熙曦（1990-），女，四川成都人，白城兵器試驗中心助理工程師，主要研究方向為網(wǎng)絡(luò)安全。