專利名稱:一種基于云計算的取證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)應(yīng)用領(lǐng)域,具體涉及一種基于云計算的取證方法。
背景技術(shù):
隨著計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,各行各業(yè)的日常工作都越來越離不開計算機(jī)的應(yīng)用,而涉及計算機(jī)和互聯(lián)網(wǎng)的高科技犯罪、商業(yè)欺詐等現(xiàn)象也越來越頻繁地發(fā)生,因此,為了有效防止和打擊計算機(jī)犯罪,必須向有關(guān)法律部門提交真實(shí)可信的電子證據(jù),計算機(jī)取證學(xué)因此應(yīng)運(yùn)而生。計算機(jī)取證就是對計算機(jī)犯罪的證據(jù)進(jìn)行獲取、保存、分析和歸檔,它實(shí)質(zhì)上是一個詳細(xì)掃描計算機(jī)系統(tǒng)以及重建入侵事件的過程。
發(fā)明內(nèi)容
為了提高 計算機(jī)取證的可靠性、縮短取證時間,本發(fā)明提出一種基于云計算的取證方法。為了解決上述技術(shù)問題,本發(fā)明提供了一種基于云計算的取證方法,包括:I)將服務(wù)器集群中的物理資源通過云計算虛擬化為一個云系統(tǒng);2)當(dāng)某一個或多個物理資源出現(xiàn)異常時,通過云計算代理采集所述云系統(tǒng)的日志數(shù)據(jù);3)通過對所述日志數(shù)據(jù)的分析和挖掘,獲得與所述出現(xiàn)異常的物理資源相關(guān)的證
據(jù)信息。進(jìn)一步地,步驟2)前還包括:對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,并且驗(yàn)證所述日志數(shù)據(jù)的完整性。進(jìn)一步地,步驟3)之后還包括:對所述證據(jù)信息進(jìn)行分析和追蹤,向云系統(tǒng)的主機(jī)或者控制器反饋。進(jìn)一步地,所述云計算的物理資源包括基礎(chǔ)設(shè)施層和中間層;所述基礎(chǔ)設(shè)施層包括:服務(wù)器集群中的各主機(jī)、分布式存儲設(shè)備、網(wǎng)絡(luò)和關(guān)系數(shù)據(jù)庫服務(wù)器;所述中間層包括:為基礎(chǔ)設(shè)施層提供的多租戶服務(wù)的服務(wù)器、并行處理服務(wù)的服務(wù)器和分布式緩存服務(wù)的服務(wù)器。進(jìn)一步地,所述日志數(shù)據(jù)包括主機(jī)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù);所述主機(jī)數(shù)據(jù)包括:操作系統(tǒng)日志、應(yīng)用程序日志和基于目標(biāo)的信息;所述網(wǎng)絡(luò)日志包括:防火墻日志、入侵檢測系統(tǒng)IDS日志和其他網(wǎng)絡(luò)工具產(chǎn)生的記錄和日志。進(jìn)一步地,對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,并且驗(yàn)證所述日志數(shù)據(jù)的完整性,包括:將獲得的日志數(shù)據(jù)分為文件類、賬戶類、系統(tǒng)類、策略更改類、網(wǎng)絡(luò)類、攻擊類;通過數(shù)字簽名、時間戳和水印驗(yàn)證所述日志數(shù)據(jù)的完整性。進(jìn)一步地,證據(jù)分析的內(nèi)容包括:計算機(jī)類型、采用的操作系統(tǒng)類型、是否有隱藏的分區(qū)、有無可疑外設(shè)、有無遠(yuǎn)程控制;證據(jù)挖掘包括:關(guān)聯(lián)規(guī)則挖掘、序列模式挖掘和孤立點(diǎn)挖掘;所述關(guān)聯(lián)規(guī)則挖掘是將日志數(shù)據(jù)中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來;所述序列模式挖掘是找到入侵行為的時間序列、事件序列特征;所述孤立點(diǎn)挖掘是挖掘日志數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式。進(jìn)一步地,對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化為:將所述日志數(shù)據(jù)按比例縮放,使之落入一個預(yù)定的數(shù)值區(qū)間。進(jìn)一步地,所述按比例縮放為:通過線性或非線性的函數(shù)變換,將所述日志數(shù)據(jù)映射到所述數(shù)值區(qū)間。與現(xiàn)有技術(shù)相比,本發(fā)明的基于云計算的取證方法,實(shí)現(xiàn)了計算機(jī)物理資源的動態(tài)整合,并將證據(jù)多份備份,提高可靠性。智能獲取數(shù)據(jù),通過數(shù)據(jù)集中存儲減少了數(shù)據(jù)泄露的可能性、縮短了取證時間。
圖1為本發(fā)明實(shí)施例的云計算模型的結(jié)構(gòu)示意圖;圖2為本發(fā)明實(shí)施例的云計算的取證方法的流程圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是,在不沖突的情況下,本申請中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。本發(fā)明實(shí)施例提出了一種基于云計算的取證方法,運(yùn)用云計算中的虛擬化技術(shù),將眾多計算機(jī)資源整合為一個強(qiáng)大的虛擬計算機(jī),從而實(shí)現(xiàn)計算機(jī)犯罪證據(jù)的多重備份,大大提高取證的效率和準(zhǔn)確率。采用云計算中的代理(agent)技術(shù)自主、智能的獲取日志數(shù)據(jù),通過日志數(shù)據(jù)集中存儲減少了數(shù)據(jù)泄露的可能性。證據(jù)分析過程采用云計算的協(xié)作技術(shù),縮短了取證時間,引入了反饋機(jī)制,使取證體制更加完善。從云計算模式的基本理論和云計算演化規(guī)律來看,云計算的關(guān)鍵技術(shù)主要包括了虛擬化技術(shù)、分布式處理技術(shù)、海量分布式存儲技術(shù)、協(xié)作技術(shù)等。本發(fā)明是以云計算關(guān)鍵技術(shù)中的虛擬化技術(shù)和協(xié)作技術(shù)構(gòu)建了計算機(jī)取證模型。(I)虛擬化技術(shù)虛擬化是實(shí)現(xiàn)云計算的最重要的技術(shù)基礎(chǔ),虛擬化技術(shù)實(shí)現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示。通過虛擬化技術(shù)可以提高資源的利用率,并能夠根據(jù)用戶業(yè)務(wù)需求的變化,快速、靈活地進(jìn)行資源部署。虛擬化可以在不同層次上實(shí)現(xiàn),包括服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化、應(yīng)用或服務(wù)虛擬化、云端設(shè)備虛擬化等。(2)協(xié)作技術(shù)單個計算機(jī)或服務(wù)處理能力總是有限的,而云環(huán)境下服務(wù)器集群對數(shù)據(jù)處理能力大大提高了,但這需要各計算機(jī)和服務(wù)器集群的相互協(xié)作,這樣,可以大大提高用戶處理項(xiàng)目的速度及付出的代價。
(3) agent技術(shù)(代理技術(shù))在分布計算領(lǐng)域,人們通常把在分布式系統(tǒng)中持續(xù)自主發(fā)揮作用的、具有以下特征的活著的計算實(shí)體稱為Agent。a.自主性:Agent具有屬于其自身的計算資源和局部于自身的行為控制機(jī)制,能夠在沒有外界直接操縱的情況下,根據(jù)其內(nèi)部狀態(tài)和感知到的環(huán)境信息,決定和控制自身的行為。b.交互性:Agent能夠與其他Agent (包括人),用Agent通信語言實(shí)施靈活多樣的交互,能夠有其他Agent協(xié)同工作。c.反應(yīng)性=Agent能夠感知所處的環(huán)境(可能是物理世界,操縱圖形界面的用戶,或其他Agent等),并對相關(guān)事件作出適時反應(yīng)。d.主動性:Agent能夠遵循承諾采取主動行動,表現(xiàn)出面向目標(biāo)的行為。一種基于云計算的取證方法,包括:I)將云計算的物理資源通過云計算虛擬化為一個云系統(tǒng);2)當(dāng)某一個或多個物理資源出現(xiàn)異常時,通過云計算代理采集所述云系統(tǒng)的日志數(shù)據(jù);3)通過對所述日志數(shù)據(jù)的分析和挖掘,獲得證據(jù)信息。步驟2)中,能夠通過云系統(tǒng)中物理資源各數(shù)據(jù)采集Agent,自主、智能地獲取需要的日志數(shù)據(jù)。步驟2)還包括:對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,并且驗(yàn)證所述日志數(shù)據(jù)的完整性。步驟3)之后還包括:對所述證據(jù)信息進(jìn)行分析和追蹤,向云系統(tǒng)的主機(jī)或者控制器反饋。把前面證據(jù)分析和追蹤結(jié)果進(jìn)行匯總,并得出分析結(jié)論,以便以證據(jù)形式提交司法機(jī)關(guān)。所述云計算的物理資源包括基礎(chǔ)設(shè)施層和中間層;所述基礎(chǔ)設(shè)施層包括:云計算中的主機(jī)、分布式存儲、網(wǎng)絡(luò)和關(guān)系數(shù)據(jù)庫;所述中間層包括:為基礎(chǔ)設(shè)施層提供的多租戶服務(wù)、并行處理服務(wù)和分布式緩存服務(wù)。在取證檢查中,發(fā)生異常的計算機(jī)一般稱為目標(biāo)計算機(jī),異??梢允俏募到y(tǒng)數(shù)據(jù)受到破環(huán)或受到病毒攻擊。本發(fā)明將基礎(chǔ)設(shè)施層的各主機(jī)、分布式存儲、網(wǎng)絡(luò)等通過虛擬化技術(shù),在服務(wù)器集群中生成一個虛擬機(jī),這樣可以大大降低服務(wù)器的購置成本和運(yùn)維成本;且在數(shù)據(jù)采集及日志分析過程中,使各主機(jī)與服務(wù)器集群協(xié)同工作,以最小代價及較高效率來完成取證工作。所述日志數(shù)據(jù)包括主機(jī)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù);所述主機(jī)數(shù)據(jù)包括:操作系統(tǒng)日志、應(yīng)用程序日志和基于目標(biāo)的信息;所述網(wǎng)絡(luò)日志包括:防火墻日志、入侵檢測系統(tǒng)IDS日志和其他網(wǎng)絡(luò)工具產(chǎn)生的記錄和日志。其他網(wǎng)絡(luò)工具主要涉及網(wǎng)絡(luò)安全的工具,網(wǎng)絡(luò)嗅探工具,如wireshark、tcpdump坐寸O因?yàn)樵葡到y(tǒng)采用的是分布式存儲,分布式存儲提供多個存儲副本,所以可以實(shí)現(xiàn)多重備份。日志數(shù)據(jù)的集中存儲會增加非法訪問數(shù)據(jù)的難度,應(yīng)用程序的設(shè)計中包含有防止對未授權(quán)數(shù)據(jù)的訪問數(shù)據(jù)標(biāo)簽。計算機(jī)證據(jù)來源主要包括2個方面:(I)主機(jī)數(shù)據(jù):操作系統(tǒng)日志、應(yīng)用程序日志和基于目標(biāo)的信息;(2)網(wǎng)絡(luò)數(shù)據(jù):防火墻日志、IDS日志和其他網(wǎng)絡(luò)工具產(chǎn)生的記錄和日志。證據(jù)獲取主要依靠現(xiàn)有的取證工具,如計算機(jī)系統(tǒng)和文件的基本信息獲取工具、磁盤映像工具、磁盤特殊區(qū)域數(shù)據(jù)獲取工具等。通過日志捕獲工具獲得基于主機(jī)的日志,經(jīng)過格式化后存入日志庫,方便證據(jù)分析?;诰W(wǎng)絡(luò)的數(shù)據(jù)獲取主要依靠信息獲取工具與入侵檢測技術(shù)、蜜罐技術(shù)等緊密結(jié)合,通過在Win32系統(tǒng)中安裝WinPcap來捕獲數(shù)據(jù)包,存入日志庫中,方便后面證據(jù)分析。對述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,并且驗(yàn)證所述日志數(shù)據(jù)的完整性,包括:將獲得的日志數(shù)據(jù)分為了文件類、賬戶類、系統(tǒng)類、策略更改類、網(wǎng)絡(luò)類、攻擊類;通過數(shù)字簽名、時間戳和水印驗(yàn)證所述日志數(shù)據(jù)的完整性。標(biāo)準(zhǔn)化是將數(shù)據(jù)按比例縮放,使之落入一個小的特定區(qū)間,例如
。通過函數(shù)變換(線性或非線性的變換)將其數(shù)值映射到上述數(shù)值區(qū)間。證據(jù)保全即在取證過程中解決證據(jù)完整性驗(yàn)證問題,保證所獲得證據(jù)的完整性和真實(shí)性。在證據(jù)保全過程中,最常用的是數(shù)字簽名技術(shù)、時間戳技術(shù)及水印技術(shù)。證據(jù)分析的內(nèi)容包括:計算機(jī)類型、采用的操作系統(tǒng)類型、是否有隱藏的分區(qū)、有無可疑外設(shè)、有無遠(yuǎn)程控制;證據(jù)挖掘包括:關(guān)聯(lián)規(guī)則挖掘、序列模式挖掘和孤立點(diǎn)分析;所述關(guān)聯(lián)規(guī)則挖掘是將日志數(shù)據(jù)中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來;所述序列模式挖掘是找到入侵行為的時間序列、事件序列特征;所述孤立點(diǎn)分析是分析日志數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式。證據(jù)的分析作為計算機(jī)取證的核心和關(guān)鍵,主要通過數(shù)據(jù)挖掘技術(shù)對獲得的日志進(jìn)行挖掘,獲取證據(jù)。證據(jù)分析的內(nèi)容主要包括:計算機(jī)的類型,采用的操作系統(tǒng)類型,是否有隱藏的分區(qū),有無可疑外設(shè),有無遠(yuǎn)程控制等。利用數(shù)據(jù)挖掘技術(shù)挖掘所需的證據(jù):通過關(guān)聯(lián)規(guī)則挖掘,將日志中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來;通過序列模式挖掘,找到入侵行為的時間序列、事件序列特征;通過孤立點(diǎn)分析,分析數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式,獲取證據(jù)信息。利用靜態(tài)取證及動態(tài)取證技術(shù)來實(shí)現(xiàn)證據(jù)信息的獲得。計算機(jī)靜態(tài)取證主要是針對單機(jī)取證并研究,如何恢復(fù)單機(jī)硬件設(shè)備上的信息。具體方式:取證人員依照法律規(guī)定和取證程序,由具有法律資格人員對計算機(jī)硬件的原始數(shù)據(jù)進(jìn)行保全、檢查、分析、然后從中找出與案件有關(guān)的數(shù)字證據(jù)并作出具有法律效應(yīng)的檢測分析報告,以證明違法犯罪事實(shí)的存在。計算機(jī)動態(tài)取證是指計算機(jī)處于開機(jī)狀態(tài)或連接互聯(lián)網(wǎng)的情況下進(jìn)行的取證。具體方式:取證人員依照法律規(guī)定和取證程序,有具有法律資格人員對處于開機(jī)或聯(lián)網(wǎng)狀態(tài)下的計算機(jī)及其相關(guān)計算機(jī)設(shè)備(包括交換機(jī)、路由器等)的內(nèi)存數(shù)據(jù)、網(wǎng)絡(luò)活動數(shù)據(jù)、系統(tǒng)運(yùn)行狀況等進(jìn)行相關(guān)的數(shù)據(jù)實(shí)時監(jiān)控、分析和保存,從中發(fā)現(xiàn)相關(guān)的犯罪證據(jù),作出具有法律效應(yīng)的檢測分析報告,以證明違法犯罪事實(shí)的存在。以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制,僅僅參照較佳實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)說明。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的精神和范圍,均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種基于云計算的取證方法,其特征在于:所述方法包括: 1)將服務(wù)器集群中的物理資源通過云計算虛擬化為一個云系統(tǒng); 2)當(dāng)某一個或多個物理資源出現(xiàn)異常時,通過云計算代理采集所述云系統(tǒng)的日志數(shù)據(jù); 3)通過對所述日志數(shù)據(jù)的分析和挖掘,獲得與所述出現(xiàn)異常的物理資源相關(guān)的證據(jù)信肩、O
2.如權(quán)利要求1所述的取證方法,其特征在于:步驟2)前還包括: 對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,并且驗(yàn)證所述日志數(shù)據(jù)的完整性。
3.如權(quán)利要求1所述的取證方法,其特征在于:步驟3)之后還包括: 對所述證據(jù)信息進(jìn)行分析和追蹤,向云系統(tǒng)的主機(jī)或者控制器反饋。
4.如權(quán)利要求1所述的取證方法,其特征在于:所述云計算的物理資源包括基礎(chǔ)設(shè)施層和中間層; 所述基礎(chǔ)設(shè)施層包括:服務(wù)器集群中的各主機(jī)、分布式存儲設(shè)備、網(wǎng)絡(luò)和關(guān)系數(shù)據(jù)庫服務(wù)器; 所述中間層包括:為基礎(chǔ)設(shè)施層提供的多租戶服務(wù)的服務(wù)器、并行處理服務(wù)的服務(wù)器和分布式緩存服務(wù)的服務(wù)器。
5.如權(quán)利要求1所述的取證方法,其特征在于:所述日志數(shù)據(jù)包括主機(jī)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù); 所述主機(jī)數(shù)據(jù)包括:操作系統(tǒng)日志、應(yīng)用程序日志和基于目標(biāo)的信息; 所述網(wǎng)絡(luò)日志包括:防火墻日志、入侵檢測系統(tǒng)IDS日志和其他網(wǎng)絡(luò)工具產(chǎn)生的記錄和日志。
6.如權(quán)利要求2所述的取證方法,其特征在于:對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,并且驗(yàn)證所述日志數(shù)據(jù)的完整性,包括: 將獲得的日志數(shù)據(jù)分為文件類、賬戶類、系統(tǒng)類、策略更改類、網(wǎng)絡(luò)類、攻擊類; 通過數(shù)字簽名、時間戳和水印驗(yàn)證所述日志數(shù)據(jù)的完整性。
7.如權(quán)利要求1所述的取證方法,其特征在于:證據(jù)分析的內(nèi)容包括:計算機(jī)類型、采用的操作系統(tǒng)類型、是否有隱藏的分區(qū)、有無可疑外設(shè)、有無遠(yuǎn)程控制; 證據(jù)挖掘包括:關(guān)聯(lián)規(guī)則挖掘、序列模式挖掘和孤立點(diǎn)挖掘; 所述關(guān)聯(lián)規(guī)則挖掘是將日志數(shù)據(jù)中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來; 所述序列模式挖掘是找到入侵行為的時間序列、事件序列特征; 所述孤立點(diǎn)挖掘是挖掘日志數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式。
8.如權(quán)利要求2或6所述的取證方法,其特征在于:對所述日志數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化為:將所述日志數(shù)據(jù)按比例縮放,使之落入一個預(yù)定的數(shù)值區(qū)間。
9.如權(quán)利要求8所述的取證方法,其特征在于:所述按比例縮放為:通過線性或非線性的函數(shù)變換,將所述日志數(shù)據(jù)映射到所述數(shù)值區(qū)間。
全文摘要
一種基于云計算的取證方法,涉及計算機(jī)應(yīng)用領(lǐng)域,為了提高計算機(jī)取證的可靠性、縮短取證時間,所述方法,包括1)將服務(wù)器集群中的物理資源通過云計算虛擬化為一個云系統(tǒng);2)當(dāng)某一個或多個物理資源出現(xiàn)異常時,通過云計算代理采集所述云系統(tǒng)的日志數(shù)據(jù);3)通過對所述日志數(shù)據(jù)的分析和挖掘,獲得與所述出現(xiàn)異常的物理資源相關(guān)的證據(jù)信息。本發(fā)明的基于云計算的取證方法,實(shí)現(xiàn)了計算機(jī)物理資源的動態(tài)整合,并將證據(jù)多份備份,提高可靠性。智能獲取數(shù)據(jù),通過數(shù)據(jù)集中存儲減少了數(shù)據(jù)泄露的可能性、縮短了取證時間。
文檔編號H04L29/08GK103106277SQ20131005235
公開日2013年5月15日 申請日期2013年2月18日 優(yōu)先權(quán)日2013年2月18日
發(fā)明者曹玲玲, 張新玲, 馬旭軍 申請人:浪潮(北京)電子信息產(chǎn)業(yè)有限公司