The invention discloses a computer forensics system and its method based on user intent detection applied to cloud computing environment. The system includes two parts: client and cloud proxy server. The client deploys initialization driver module, system control center and system support module group, and the cloud proxy server deploys forensics function module group. By realizing a lightweight virtual machine monitor on the client side, the forensics tool can directly utilize the convenience and flexibility brought by hardware virtualization technology, provide tools for rapid analysis and real-time evidence acquisition, and build a cloud proxy server between the client side and the server side, so that the server side can directly use the functions of the forensics system without using the functions of the forensics system. Cloud system architecture needs to be reconstructed. This method overcomes the shortcomings of the current ex post facto forensics method, overcomes the flexibility of virtualization technology itself, has a wider scope of application than the traditional security system, and ensures the reliability and accuracy of evidence collection.
【技术实现步骤摘要】
应用于云计算环境的基于用户意图检测的取证系统及方法
本专利技术涉及计算机取证
,涉及一种应用于云计算环境的基于用户意图检测的计算机取证系统及取证方法。
技术介绍
传统的基于主机的安全系统将主要精力放在攻击检测上,通过预定义的恶意模型或者检测不会产生于正确输入或运行环境的异常来识别攻击。不幸的是,准确地识别最新攻击方式已经被证明是一个无尽的循环。攻击检测方法的更替似乎永远走在新攻击产生的后面。为此,越来越多的安全系统引入用户意图驱动的安全模型,来确保系统的行为和用户的意图是匹配的。由于该类模型可以是攻击不可知的,因此可以比传统的安全系统有更广的应用范围。通过检测用户意图来定义应用的正确行为的思想并不是全新的,但是先前的尝试往往使用了过度简单或者过度复杂的模型来定义用户行为。因此,如果没有适当而准确地应用运行时上下文,精确检测用户意图似乎是不可能的。计算机取证的目的是将犯罪者留在计算机的痕迹作为有效证据提供给法庭,打击计算机和网络犯罪。传统的计算机取证分析往往是事后取证,取证证据容易丢失且易被篡改。故而,取证证据的实时获取至关重要。硬件虚拟化技术首次在IBMSy...
【技术保护点】
1.一种应用于云计算环境的基于用户意图检测的计算机取证系统,其特征在于,包括:客户端和云代理服务器端两个部分,客户端部分用于获取取证数据,云代理服务器部分用于提供取证功能支持;其中客户端部署有初始化驱动模块、系统控制中心、系统支持模块组;云代理服务器端部署有取证功能模块组;所述初始化驱动模块用于在运行的客户端操作系统中部署和卸载取证平台,并在初始化过程完成后将控制权交给系统控制中心;所述系统控制中心提供硬件虚拟化平台支持,控制初始化过程和卸载过程,以及对硬件虚拟化平台截获的目标操作系统的事件进行预处理、并提供给取证功能模块组;所述系统支持模块组基于系统控制中心实现系统的基础...
【技术特征摘要】
1.一种应用于云计算环境的基于用户意图检测的计算机取证系统,其特征在于,包括:客户端和云代理服务器端两个部分,客户端部分用于获取取证数据,云代理服务器部分用于提供取证功能支持;其中客户端部署有初始化驱动模块、系统控制中心、系统支持模块组;云代理服务器端部署有取证功能模块组;所述初始化驱动模块用于在运行的客户端操作系统中部署和卸载取证平台,并在初始化过程完成后将控制权交给系统控制中心;所述系统控制中心提供硬件虚拟化平台支持,控制初始化过程和卸载过程,以及对硬件虚拟化平台截获的目标操作系统的事件进行预处理、并提供给取证功能模块组;所述系统支持模块组基于系统控制中心实现系统的基础功能,包括信号模块、外部控制模块、系统状态检测模块、和实时获得重要证据的用户意图检测模块;所述取证功能模块组包括若干个取证模块,并在取证平台的支持下完成初始化、卸载和外部控制,取证功能模块组由云代理服务器统一管理,由客户端的系统控制中心利用外部接口调配使用。2.根据权利要求1所述的应用于云计算环境的基于用户意图检测的计算机取证系统,其特征在于,所述取证功能模块组包括数据加密保护模块、用户场景重现模块、用户意图驱动访问控制模块;数据加密保护模块为被访问的云端数据提供进一步的加密保护:首先,利用通用加密算法,使用数据密匙对被访问的云端数据进行第一步加密,而后,使用控制密匙对数据密匙进行第二步加密,并为控制密匙绑定时间有效性和空间有效性等限制条件,控制密匙由云代理服务器管理并留存;加密数据、数据密匙和控制密匙被提供给数据访问请求者;用户场景重现模块实时获得的操作系统中的重要证据,包括:在事件发生时记录当前操作系统的运行状态,当前正在运行进程的行为,在事件发生时的应用界面结构,用户和应用之间的交互行为,该模块是轻量级的、持续运作的取证重现引擎,提供了抽象但语义足够的用户操作场景重现,帮助分析用户和应用之间的交互过程,场景重现的过程在云端实现,重现的结果使用帧缓冲协议能够在任意设备上进行渲染;用户意图驱动访问控制模块主动依据用户意图进行用户数据的访问控制保护,动态依据用户意图配置访问控制策略,拒绝不符合用户意图的数据访问控制请求。3.根据权利要求1所述的应用于云计算环境的基于用户意图检测的计算机取证系统,所述客户端的初始化顺序为先初始化系统控制中心、再初始化系统支持模块组、最后初始化取证功能模块外部控制接口,控制初始化的单线程性;云代理服务器端的初始化顺序为先初始化取证功能管理中心,再初始化取证功能模块,最后初始化外部控制接口;反之,客户端的卸载顺序为先卸载取证功能模块外部控制接口、再卸载系统支持模块组、最后系统控制中心将CPU控制权限交还目标操作系统;云代理服务器端的卸载顺序为先卸载外部控制接口,再卸载取证功能模块,最后卸载取证功能管理中心。4.一种应用于云计算环境的基于用户意图检测的计算机取证方法,其特征在于,包括客户端部分和云代理服务端部分,所述客户端部分实现步骤如下:步骤一、启动阶段,初始化驱动向目标操作系统请求分配内存,开启虚拟机模式,配置硬件相关的虚拟机控制数据结构,即复制当前操作系统的各寄存器和运行状态配置到虚拟机中;原CPU控制权限转由系统控制中心接管;执行初始化过程,在客户端部署取证平台;恢复目标操作系统的运行;步骤二、运行阶段,支持硬件虚拟化的硬件平台根据系统控制中心的配置自动截获目标系统中产生的用户硬件事件;事件由系统控制中心预处理后,通过外部接口被分派给云代理服务器端对应注册的取证功能模块处理,最后将处理结果返回给客户端;步骤三、卸载阶段,客户端的初始化驱动通知系统控制中心进行卸载,系统控制中心先卸载取证功能模块外部控制模块、再卸载系统支持模块组,然后将CPU控制权限交还目标操作系统,最后初始化驱动归还步骤一中分配的内存,并完成卸载;所述云代理服务器端部分实现步骤如下:步骤一,启动阶段,云代理服务器启动取证功能管理中心,注册取证功能模块,维持取证功能模块运行,并开放外部接口;步骤二,运行阶段,取证功能管理中心通过外部接口获取客户端请求,并分发到对应的取证功能模块处理;云代理服务器端取证功能模块处理具体为:调用用户场景重现模块重现用户与目标操作系统及应用的交互行为,调用用户意图驱动访问控制模块对用户的云端数据进行访问控制保护,调用数据加密保护模块对被访问的云端用户数据进行进一步的保护;最后向客户端反馈处理结果;步骤三,卸载阶段,云代理服务器端的卸载过程为先卸载取证功能外部控制接口,再卸载取证功能模块,最后卸载取证功能管理中心。5.根据权利要求4所述的应用于云计算环境的基于用户意图检测的计算机取证方法,其特征在于,所述客户端中步骤一具体包括如下步骤:(1)初始化驱动向操作系统请求分配内存,被分配的内存在整...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。