本发明专利技术提供一种云计算环境下的取证方法,其步骤包括:云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;对可疑数据进行分析,获取数字证据。本发明专利技术将可能含有犯罪证据的可疑数据存储在专门的取证虚拟机中,大大提高了云计算环境下取证的效率。
【技术实现步骤摘要】
本专利技术属于云计算和计算机取证(computer forensics)
,具体涉及一种云计算环境下的取证方法及系统。
技术介绍
云计算类似于传统的C/S模式,服务接入端为Client端,而服务提供端为Server端。云取证(cloud forensics)是指在云计算环境中对于数字证据的固定、提取、分析和鉴定。主要用于捕获犯罪分子入侵云计算环境后遗留的痕迹并作为证据呈送司法部门。当前的云取证技术,分为两种第一种是以接入端取证为主。如2011年black hat大会上,斯坦福大学的 Elie Bursztein 教授提出的 OWADE 取证工具(Doing forensics in the cloudage OffADE:beyond files recovery forensic);第二种则以服务提供端取证为主。取证步骤为提取虚拟机镜像文件一镜像文件本地加载一利用取证工具进行取证。从取证角度来看,云计算存在着两大关键特性规模大和动态变化(如云的弹性扩展特性)。以上特性加大了云取证的难度,云取证至少面临以下四大问题第一个问题是云中数据物理存放地点不确定。例如,某个应用所产生的数据可能分散在一台或者多台服务器中。第二个问题是逻辑上相关的数据可能分散存放。例如,某应用同时部署在不同的服务器上,而该应用所产生的数据则可能分散在不同的服务器中。第三个问题是待取证数据的规模大,而真正与犯罪相关的信息很少,可能需要对多台VM (虚拟机)和/或物理磁盘进行分析。第四个问题是云的弹性扩展机制要求取证能及时适应系统的规模的变化,即弹性 取证。
技术实现思路
本专利技术的目的在于基于虚拟化平台,提出一种云计算环境下的取证方法及系统,化“被动取证”为“主动取证”,即系统(或应用)主动提供可能与犯罪活动相关的信息给取证部门,一旦有取证需求,取证部门不再去原系统(或应用)查找,直接在本部门即可实现取证。为实现上述目的,本专利技术采用如下技术方案一种云计算环境下的取证方法,其步骤包括I)云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口 ;2)云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;3)所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;4)对所述取证虚拟机中存储的可疑数据进行分析,获取数字证据。进一步地,步骤I)所述的可疑数据是指可能含有犯罪证据的定制的数据,可以是某种日志,也可以是某种内存易失性数据。云应用对于可疑数据的辨别是通过可疑数据的特征来进行,比如,为了获取某个时间点入侵云系统的犯罪记录,可将可疑数据定制为“时间特征为某年某月某日某时某分某秒”的日志记录。进一步地,步骤3)所述重新校验的方法为所述取证虚拟机重新计算所述可疑数据的校验值,如果与步骤2)生成的校验值相同,则校验通过;否则,校验不通过。进一步地,所述取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问。进一步地,若所述取证虚拟机中发现未签名的数据,则通知取证虚拟机的管理域DomainO并报警。进一步地,取证虚拟机的管理域DomainO定时向云服务提供商发送请求(Request),云服务提供商收到请求后进行回复;若没有收到回复,DomainO报警并启动虚拟机重放器(VM Player)”,记录云服务提供商的虚拟服务器的运行信息,并在事后进行回 放取证。所记录的运行信息包括系统运行的线程、程序发起的系统调用、用户对系统的操作记录。云服务供应商收到报警之后通过VM Player回放虚拟服务器在这段时间内所运行的系统命令、用户操作记录,系统管理员根据回放记录分析用户及系统的行为,若确定有人入侵该服务器,可将回放记录作为证据进行保存。一种云计算环境下的取证系统,适用于上述方法,包括虚拟服务器、取证虚拟机和云应用,其间建立通信连接;所述虚拟服务器由云服务提供商运行,其内设置用于取证的应用程序编程接口 ;所述云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至所述取证虚拟机;所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据,用于获取数字证据。进一步地,所述取证系统还包括一取证虚拟机保护模块,设于虚拟监控机内,用于防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改。下面进一步说明本专利技术的技术原理。本专利技术在原有云环境下的取证框架下,提供一个专门的取证虚拟机(ForensicVirtual Machine,FVM)。云服务提供商提供一组API (Forensic API,取证API),相应的云应用直接调用该API,将可能存在犯罪活动的可疑数据(Forensic Data)存储在专门的取证虚拟机FVM中。本专利技术解决了当前云取证技术中存在的下述问题I)云中数据物理存放地点不确定由于相应的云应用通过直接调用Forensic API将Forensic Data存储在FVM中,调查人员不需再关心一个或者多个云服务提供商中的数据的物理存放地址。2)逻辑上相关的数据可能分散存放由于云服务提供商中相应的云应用所产生的Forensic Data都发送给了 FVM,在FVM中可以对这些数据进行分类,能够提供完整的证据,形成完整的数据链。3)待取证数据规模大,而真正与犯罪相关的信息很少本专利技术通过“主动取证”,而并非当有取证需求时,才去查找可能与犯罪相关的信息。可能存在犯罪活动的“可疑数据”已经存储在专门的取证虚拟机FVM中,不再需要对云服务提供商本身进行取证。4)云的弹性扩展机制要求取证能及时适应系统的规模变化本专利技术中,只要相应的云应用调用了云服务提供商提供的Forensic API,云系统规模变化时,取证不再受影响。为了确保“可疑数据”在传输过程中没有被修改,在数据传输前生成校验值,在FVM中重新计算该校验值并进行匹配。为了防止未知应用恶意调用Forensic API向FVM中传输干扰数据,云服务供应商为每一个经过审核的Cloud App颁发数字证书,该App用自己的证书对数据进行签名。特殊情况下,如果FVM中发现未签名数据,则通知DomainO并报警。上述框架还可能存在下面的安全问题,本专利技术也进一步提供了相应的解决办法I)从FVM内部保证“可疑数据”的安全Xen的隔离性能保证FVM不受其他VM中恶意程序的攻击。FVM中“可疑数据”接收完成后设定为只读,不允许修改。对FVM进行精简,只允许单个进程,如Forensic app对“可疑数据”进行访问。2)防止其它VM加载FVM的磁盘,从而对“可疑数据”进行修改在DomainO中配置FVM的磁盘块不能被其他VM加载。在虚拟监控机(Xen Hypervisor)中增加FVM保护模块(FVM Grardian Module),该模块负责监控系统磁盘读写相关的“超级调用”,当发现有非FVM中的程序请求通过“超级调用”读写FVM中的磁盘时,拒绝该程序的请求。3)虚拟服务器端负责发送数据的进程被恶意程序干扰而停止运行时的处理方法DomainO定时向虚拟服务器发送请求(request),虚拟服务器收到时需回复;若没收到回复,DomainO报警且启动“VM Player”本文档来自技高网...
【技术保护点】
一种云计算环境下的取证方法,其步骤包括:1)云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;2)云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;3)所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;4)对所述取证虚拟机中存储的可疑数据进行分析,获取数字证据。
【技术特征摘要】
【专利技术属性】
技术研发人员:丁丽萍,谢亚龙,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。