云計算中網絡取證問題分析

李自龍?余軍

摘 要：隨著云計算的出現，網絡取證在調查過程中面臨巨大挑戰(zhàn)。云計算的普及為有數據處理需求的用戶提供極大的便利。但數據和應用程序由第三方管理，隱私和安全方面的風險也在增加。對網絡取證人員在云環(huán)境調查取證中可能面臨的難題進行分析與研究，將云計算中網絡取證提出的困境分為取證人員、云服務提供商、取證工具及其他，并對云環(huán)境中取證問題進行部分改善。

關鍵詞：云計算；云架構；云安全；云中網絡取證困境

1 引言

電子數據取證是指“采用技術手段，獲取、分析、固定電子數據作為認定事實的科學”。 網絡取證為電子數據取證的其中一類。網絡取證是捕獲，分析和調查網絡流量的領域，旨在將攻擊歸因于某些特定的來源或嫌疑人。重建網絡犯罪活動，以得出為什么，如何以及由誰執(zhí)行活動的結論。網絡取證框架涉及從準備開始到調查，收集和保存證據的一系列過程。該過程通過對網絡流量進行檢查分析，再對案件進行調查，最終得出結論。

云計算是一種計算方法，是根據用戶在互聯網上的定制需求向客戶提供靈活的計算和存儲服務。云計算的出現對網絡安全領域帶來巨大的挑戰(zhàn)，也成為其擴展市場的瓶頸。客戶數據與其他用戶數據共同存儲在云端。資源在云上的可擴展性是為客戶提供靈活性的重要特征。除了傳統網絡攻擊之外，云環(huán)境會遇到新的攻擊形式。將云環(huán)境中的網絡取證問題分為某些特定組，如使其與取證人員、云服務提供商和網絡取證工具設計人員相關聯，可以適當減輕取證難度。

2 文獻綜述

本文主要研究網絡取證面臨的問題，特別是在云環(huán)境中存在的問題。 Dominik和Christoph 在文獻中強調，由于云架構中的分散功能，使用常規(guī)取證技術在云中進行取證是不夠的。沒有統一標準是在云環(huán)境中進行系統的取證調查的障礙。Ahmad Almulhem認為，要成功實施網絡取證，網絡基礎設施應完全支持取證活動，這是一項艱巨的任務。其中存在多個數據源，決定要保留的數據的可信度，數據完整性，與隱私相關的問題和不同格式數據的分析等。Elias和Xenofontas 分析多個數據源，對安全事件的真實性進行評論。通過對廣泛的安全事件的系統研究，確立使用多個取證工具的綜合工作可以產生準確可靠的結果。網絡取證為網絡安全領域發(fā)揮重要作用的取證學科之一。處理復雜的海量數據，特別是網絡端口掃描攻擊，可以通過應用嚴格過濾包括日志文件中的數據包的技術來處理。蜜陷是一種有價值和低成本的技術，可以通過捕獲網絡流量并建立與通過常規(guī)網絡取證工具監(jiān)控的數據的關系來構建網絡取證過程。

3 云的特征與架構

云計算是目前討論最多的技術之一，但是研究人員和技術人員對安全問題卻額外重視。云架構在工業(yè)領域以顯著的特點和靈活的部署技術迅速發(fā)展，改變著人們的生活。其主要特點如下：

3.1 云特征

云計算的顯著特征是簡單易用的交互模型?？蛻舳嘶蛴脩魺o需專業(yè)知識了解云的底層技術細節(jié)知識也可以使用其服務[9]。云的以下功能使其與傳統系統有所區(qū)別：

（1）資源池：用戶根據云的不斷變化的需求定制服務，其中一般包括服務提供商管理的處理數據能力、存儲介質和應用環(huán)境?？蛻粢缘统杀驹L問資源池，建立和維護等效服務[6]。

（2） 多終端：客戶可以使用包括個人電腦、筆記本電腦、IPad或移動電話等多種終端設備通過網絡獲得云資源。

（3）按需自助服務：客戶有權自定義服務，與云服務提供商沒有或進行間接交互。

（4）快速彈性：云計算向用戶提供的服務是可變的，允許用戶根據要求隨時升級或減少服務。

（5） 付費：客戶需要支付一定的費用才可以使用服務，客戶和服務提供商都負有責任。

3.2 服務模式

云計算服務分為三層，為客戶提供服務。即基礎架構即服務（Infrastructure-as-a-service，IaaS），軟件即服務（Software-as-a-service，SaaS）和平臺即服務（Platform-as-a-service，PaaS），每個層本身都是一個完整的服務模型[10]。最底層是IaaS，其中服務提供者匯集資源，向客戶提供硬件，網絡，計算和存儲服務。IaaS提供網絡和硬件的基礎設施，包括服務器機器、存儲介質、虛擬機、網絡和安全設備等，用戶可以根據技術要求安裝操作系統和應用程序。中間層PasS建立了安裝某些應用或環(huán)境模擬的平臺供用戶使用。用戶將其定制的軟件或應用程序放在云計算環(huán)境中進一步使用。SaaS向其客戶提供軟件應用程序作為服務?？蛻衾迷品仗峁┥痰倪h程軟件對數據進行管理。

3.3 部署模型

部署模型將云架構分為私有，公共和混合。私有云模型將整個資源投入到為獲取其資源或服務付費的單個組織中。公共云出售并將其資源池共享給多個組織?；旌显仆ㄟ^合并兩個或多個其他云模型來滿足用戶的一些額外的計算或存儲需求。

3.4 云安全的挑戰(zhàn)

云安全問題主要對用戶造成嚴重影響，云架構的不安全性只對用戶最有價值的數據造成威脅。盡管云計算領域發(fā)展迅速，但目前云模式的安全問題是大部分客戶不愿意采用云技術的關鍵因素。影響云安全主要有以下幾個原因：

（1）外包。 在云計算中，客戶的數據和應用與服務提供商處，因此客戶端失去對其的控制，這是客戶最擔心的問題?？蛻魧ζ鋽祿]有控制權，甚至在某種程度上，有時不知道其數據的位置。這就要求用戶對于服務提供者不僅可信，而且還能夠保護數據的機密性、完整性、可用性和隱私性。云數據處于云服務提供商提供存儲、軟件、應用程序或基礎設施服務的訪問風險中。除了來自云服務提供商的政策外，來自客戶端的規(guī)則也同樣適用于數據，假如政策相悖沖突就會發(fā)生。

（2）多租戶。服務提供商的云平臺實際上是多個客戶共享平臺。即使在虛擬化環(huán)境情況下，一臺物理主機也可能存儲不同客戶端的數據。在多租戶體系結構中放置在共享存儲上的敏感數據暴露對用戶危害極大。當數據的位置對數據所有者是未知的情況下，情況變得更糟。

（3）海量數據和超強計算。云計算處理的是密集計算和海量數據，因此與傳統的安全措施相比，需要一些特殊的安全策略來保護它。需要高端網絡和安全設備滿足數據處理和保護免受云架構攻擊。云的部署和服務模式及其特點如圖1所示：

圖1.云模型和服務

4 云計算環(huán)境中網絡取證的挑戰(zhàn)

網絡取證是指相關專業(yè)人員使用專門設備收集、保存和分析網絡流量進行調查的方法。該方法甚至可

以作為網絡安全模型的補充。該技術不僅能識別從外部在網絡上發(fā)起的攻擊的類型和技能，還有助于監(jiān)測內部人員的惡意行為。云基礎設施的海量數據處理能力對云環(huán)境中網絡取證提出嚴格要求。云計算體系結構與傳統系統網絡取證最大區(qū)別是云計算中的網絡取證流程是全新的。需要云服務提供商開發(fā)有效的技術，以協助取證調查。云環(huán)境網絡取證領域出現的問題至今尚未解決。

4.1 云架構對網絡取證提出的挑戰(zhàn)：

（1） 海量數據分析（網絡流量）。云環(huán)境以網絡流量的形式傳輸大量數據。 技術的進步需要更高帶寬支撐其正常運行，從而增加了網絡流量。通常，網絡中攜帶有各種類型的數據，包括數據流量、管理流量、協議數據和存儲在設備上的日志等。捕獲所有數據形成海量數據轉儲，這需要大量的時間和資源用于后續(xù)分析。具體來說，在云環(huán)境中，網絡數據會倍增，因為云可能為多個客戶端或組織提供服務，網絡同時容納所有數據。收集和分析數據需要網絡取證中特殊工具和相關技術，而傳統技術和工具因技術和處理數據能力缺陷可能無法正常工作，急需新技術、開發(fā)工具來替代。

（2）網絡取證工具的存儲空間限制。捕獲、分析大量的網絡流量對網絡取證工具的存儲空間是一個限制。一旦在云環(huán)境中執(zhí)行網絡取證，多個客戶數據就會增加存儲空間問題。為了忽略不相干的流量，取證人員需要采用精確的過濾機制對相關流量進行分析，并確保數據的準確性不受影響。

（3）訪問云網絡設備。電子數據取證一般是通過查封設備或存儲開始調查，但在云環(huán)境中查封設備比較困難。取證過程中，盡管云服務提供商允許訪問網絡，但需要提供云基礎設施的國家的法律許可，訪問某個國家的服務提供者的網絡需要取得授權。

（4）訪問云上的數據。 客戶的數據可能會分布在不同位置的多個存儲介質上。數據以各種格式存儲在不同區(qū)域服務提供商的存儲介質下，要求取證人員專業(yè)、熟練訪問存儲在網絡中的數據。

4.2 云環(huán)境中網絡取證挑戰(zhàn)的分類

云環(huán)境中網絡取證所面臨的挑戰(zhàn)可以由取證人員，云服務提供商或通過開發(fā)管理工具來處理，但還是存在無法解決的問題。

（1）取證人員。網絡取證存在的問題可以由取證人員進行部分控制。網絡中的海量數據的收集和分析可以通過取證人員的精確過濾進行部分優(yōu)化。取證人員通過巧妙地識別除嫌疑人之外的用戶的數據，忽略處理網絡上與用戶不相關的隱私數據。取證人員的知識和技能有助于形成多個數據資源的證據鏈。

（2）取證工具?？梢酝ㄟ^提高工具的存儲容量來克服取證工具的存儲空間限制，盡管可以實現，但高成本成為其普及的障礙。開發(fā)基于云計算的網絡取證工具，對特殊領域數據針對性提取。

（3）云服務提供商。云服務提供商可以使用自定義的腳本或過濾器配置網絡設備，使日志內容更有價值。云服務提供商的政策將決定訪問網絡設備途徑和存儲數據能力。與取證人員及時建立流暢的會話通道，積極提供取證所需相關信息。

（4）其他?；谠萍軜嫷姆植际阶C據的性質不能改變。一國法律規(guī)定是否支持對網絡基礎設備進行訪問是一個不容忽視的問題。建立針對云計算的取證統一標準規(guī)則和流程。

5 結論

網絡取證是電子數據取證的延伸，是一門科學的對網絡流量和網絡設備的數據捕獲、保存、分析和歸檔的技術，目的是調查嫌疑人是否與某項活動相關。云環(huán)境中網絡取證，需要專業(yè)技術和開發(fā)專門取證工具。取證人員應熟練掌握云架構中的各種網絡設備。取證標準的起草對于成功推進網絡取證程序非常有幫助。本文提出的云環(huán)境中網絡取證的分類，對云環(huán)境中取證問題有所部分改善。

參考文獻

[1]劉浩陽，李錦，劉曉宇.電子數據取證[M].北京：清華大學出版社，2015：6-8.

[2]Sara Hamouda.Security and Privacy in Cloud Computing[C].Cloud Computing Technologies， Applications and []Management.2012：241-245.

[3]Dominik Birk，Christoph Wegener. Technical Issues of Forensic Investigations in Cloud Computing Environments[C]. IEEE Sixth International Workshop.2011：1-10.

作者簡介

李自龍（1987-），男，甘肅古浪人，漢族，甘肅政法學院碩士學生，在讀碩士研究生學歷，研究方向：物證技術學。