CN102739774B - 一种云计算环境下的取证方法及系统 - Google Patents
一种云计算环境下的取证方法及系统 Download PDFInfo
- Publication number
- CN102739774B CN102739774B CN201210170280.1A CN201210170280A CN102739774B CN 102739774 B CN102739774 B CN 102739774B CN 201210170280 A CN201210170280 A CN 201210170280A CN 102739774 B CN102739774 B CN 102739774B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- evidence
- evidence obtaining
- data
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种云计算环境下的取证方法,其步骤包括:云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;对可疑数据进行分析,获取数字证据。本发明将可能含有犯罪证据的可疑数据存储在专门的取证虚拟机中,大大提高了云计算环境下取证的效率。
Description
技术领域
本发明属于云计算和计算机取证(computer forensics)技术领域,具体涉及一种云计算环境下的取证方法及系统。
背景技术
云计算类似于传统的C/S模式,服务接入端为Client端,而服务提供端为Server端。云取证(cloud forensics)是指在云计算环境中对于数字证据的固定、提取、分析和鉴定。主要用于捕获犯罪分子入侵云计算环境后遗留的痕迹并作为证据呈送司法部门。当前的云取证技术,分为两种:第一种是以接入端取证为主。如2011年black hat大会上,斯坦福大学的Elie Bursztein教授提出的OWADE取证工具(Doing forensics in the cloud age OWADE:beyond files recovery forensic);第二种则以服务提供端取证为主。取证步骤为:提取虚拟机镜像文件→镜像文件本地加载→利用取证工具进行取证。
从取证角度来看,云计算存在着两大关键特性:规模大和动态变化(如云的弹性扩展特性)。以上特性加大了云取证的难度,云取证至少面临以下四大问题:第一个问题是云中数据物理存放地点不确定。例如,某个应用所产生的数据可能分散在一台或者多台服务器中。第二个问题是逻辑上相关的数据可能分散存放。例如,某应用同时部署在不同的服务器上,而该应用所产生的数据则可能分散在不同的服务器中。第三个问题是待取证数据的规模大,而真正与犯罪相关的信息很少,可能需要对多台VM(虚拟机)和/或物理磁盘进行分析。第四个问题是云的弹性扩展机制要求取证能及时适应系统的规模的变化,即弹性取证。
发明内容
本发明的目的在于基于虚拟化平台,提出一种云计算环境下的取证方法及系统,化“被动取证”为“主动取证”,即系统(或应用)主动提供可能与犯罪活动相关的信息给取证部门,一旦有取证需求,取证部门不再去原系统(或应用)查找,直接在本部门即可实现取证。
为实现上述目的,本发明采用如下技术方案:
一种云计算环境下的取证方法,其步骤包括:
1)云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;
2)云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;
3)所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;
4)对所述取证虚拟机中存储的可疑数据进行分析,获取数字证据。
进一步地,步骤1)所述的可疑数据是指可能含有犯罪证据的定制的数据,可以是某种日志,也可以是某种内存易失性数据。云应用对于可疑数据的辨别是通过可疑数据的特征来进行,比如,为了获取某个时间点入侵云系统的犯罪记录,可将可疑数据定制为“时间特征为某年某月某日某时某分某秒”的日志记录。
进一步地,步骤3)所述重新校验的方法为:所述取证虚拟机重新计算所述可疑数据的校验值,如果与步骤2)生成的校验值相同,则校验通过;否则,校验不通过。
进一步地,所述取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问。
进一步地,若所述取证虚拟机中发现未签名的数据,则通知取证虚拟机的管理域Domain0并报警。
进一步地,取证虚拟机的管理域Domain0定时向云服务提供商发送请求(Request),云服务提供商收到请求后进行回复;若没有收到回复,Domain0报警并启动虚拟机重放器(VM Player)”,记录云服务提供商的虚拟服务器的运行信息,并在事后进行回放取证。所记录的运行信息包括系统运行的线程、程序发起的系统调用、用户对系统的操作记录。云服务供应商收到报警之后通过VM Player回放虚拟服务器在这段时间内所运行的系统命令、用户操作记录,系统管理员根据回放记录分析用户及系统的行为,若确定有人入侵该服务器,可将回放记录作为证据进行保存。
一种云计算环境下的取证系统,适用于上述方法,包括虚拟服务器、取证虚拟机和云应用,其间建立通信连接;
所述虚拟服务器由云服务提供商运行,其内设置用于取证的应用程序编程接口;
所述云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至所述取证虚拟机;
所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据,用于获取数字证据。
进一步地,所述取证系统还包括一取证虚拟机保护模块,设于虚拟监控机内,用于防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改。
下面进一步说明本发明的技术原理。
本发明在原有云环境下的取证框架下,提供一个专门的取证虚拟机(Forensic VirtualMachine,FVM)。云服务提供商提供一组API(Forensic API,取证API),相应的云应用直接调用该API,将可能存在犯罪活动的可疑数据(Forensic Data)存储在专门的取证虚拟机FVM中。本发明解决了当前云取证技术中存在的下述问题:
1)云中数据物理存放地点不确定:由于相应的云应用通过直接调用Forensic API将Forensic Data存储在FVM中,调查人员不需再关心一个或者多个云服务提供商中的数据的物理存放地址。
2)逻辑上相关的数据可能分散存放:由于云服务提供商中相应的云应用所产生的Forensic Data都发送给了FVM,在FVM中可以对这些数据进行分类,能够提供完整的证据,形成完整的数据链。
3)待取证数据规模大,而真正与犯罪相关的信息很少:本发明通过“主动取证”,而并非当有取证需求时,才去查找可能与犯罪相关的信息。可能存在犯罪活动的“可疑数据”已经存储在专门的取证虚拟机FVM中,不再需要对云服务提供商本身进行取证。
4)云的弹性扩展机制要求取证能及时适应系统的规模变化:本发明中,只要相应的云应用调用了云服务提供商提供的Forensic API,云系统规模变化时,取证不再受影响。
为了确保“可疑数据”在传输过程中没有被修改,在数据传输前生成校验值,在FVM中重新计算该校验值并进行匹配。
为了防止未知应用恶意调用Forensic API向FVM中传输干扰数据,云服务供应商为每一个经过审核的Cloud App颁发数字证书,该App用自己的证书对数据进行签名。特殊情况下,如果FVM中发现未签名数据,则通知Domain0并报警。
上述框架还可能存在下面的安全问题,本发明也进一步提供了相应的解决办法:
1)从FVM内部保证“可疑数据”的安全:Xen的隔离性能保证FVM不受其他VM中恶意程序的攻击。FVM中“可疑数据”接收完成后设定为只读,不允许修改。对FVM进行精简,只允许单个进程,如Forensic app对“可疑数据”进行访问。
2)防止其它VM加载FVM的磁盘,从而对“可疑数据”进行修改:在Domain0中配置FVM的磁盘块不能被其他VM加载。在虚拟监控机(Xen Hypervisor)中增加FVM保护模块(FVM Grardian Module),该模块负责监控系统磁盘读写相关的“超级调用”,当发现有非FVM中的程序请求通过“超级调用”读写FVM中的磁盘时,拒绝该程序的请求。
3)虚拟服务器端负责发送数据的进程被恶意程序干扰而停止运行时的处理方法:Domain0定时向虚拟服务器发送请求(request),虚拟服务器收到时需回复;若没收到回复,Domain0报警且启动“VM Player”,记录该服务器的运行情况,并可在事后进行回放取证。
本发明针对当前云取证所面临的问题,化“被动取证”为“主动取证”,由云服务提供商提供一组API,相应的云应用直接调用该API,将可能存在犯罪活动的数据存储在专门的取证虚拟机中。一旦有取证需求,取证部门不再去原系统(或应用)查找,直接在专门的取证虚拟机上即可实现取证,大大提高了云计算环境下取证的效率。
附图说明
图1为实施例中云计算环境下的取证方法的步骤流程图。
图2为实施例中云计算环境下的取证系统的架构示意图。
具体实施方式
下面通过实施例并结合附图,对本发明作进一步的说明。
图1为本实施例中云计算环境下的取证方法的步骤流程图。首先,云服务提供商在其虚拟服务器中部署用于取证的应用程序编程接口(取证API);然后,云应用直接调用用于取证的应用程序编程接口,通过云服务提供商颁发的数字证书对传输的可疑数据进行签名并生成校验值,然后将可疑数据传输至一取证虚拟机;然后,取证虚拟机对可疑数据进行重新校验,校验通过后将所述可疑数据存储在证据仓库中;最后,对所述证据仓库中存储的可疑数据进行分析,以获取数字证据。
图2为适用于上述方法的取证系统的架构示意图。该取证系统包括底层硬件设备、虚拟监控机(Xen Hypervisor)、虚拟服务器1和2、取证虚拟机(FVM)以及云应用1和2。虚拟服务器中设有取证API,虚拟监控机内设有FVM保护模块,取证虚拟机中设有证据仓库。
下文通过具体的应用实例说明上述方法和系统的实施过程。
假设A公司购买大量硬件资源,并在这些硬件之上安装开源云计算平台XCP,然后以虚拟服务器(Virtual Server,VS)的形式对外提供租用服务。假设A公司采用了本发明的取证方案,则该公司需在其供租用的VS中部署好取证API。
假设B是一家小型的互联网公司,其主要业务是对外提供网上支付服务,类似于支付宝。B公司为了省去服务器的购买及维护成本,选择租用A公司提供的VS,并将自己的业务部署在VS中。B公司的业务主要由两个云应用构成,云应用1为网上支付程序,云应用2为用户信息管理程序,如图2所示。为了避免单台VS宕机从而引发整个业务无法办理的情况出现,B公司向A公司申请租用2台VS(图2中的服务器1和服务器2),并在申请书中明确说明B公司的业务数据非常重要,希望A公司加强对B公司数据的保护,避免被黑客破坏。
A公司在接到B公司的申请后,告诉B公司可以使用VS中的取证API,将其业务中的可疑数据通过取证API存储到FVM中。可疑数据是指可能包含证据的数据,在该示例中是指B公司客户的登录日志、交易日志以及VS系统日志。
A公司为B公司的云应用1及云应用2分别签发一张数字证书,证书中包含了该应用的数字签名(64位)信息。B公司简单的修改其云应用1及云应用2的源码,在一些涉及“可疑数据”的地方调用A提供的取证API(参考表1或表2),然后将云应用1及云应用2正式部署在VS1及VS2中。
B公司的业务正式开始上线,其客户C通过云应用1(网上支付程序)打款给客户D,操作完成后云应用1生成一条交易记录,并将该交易信息及其数字证书提供给取证API。A公司部署在VS中的取证程序利用云应用1的数字证书对交易记录进行签名,并用MD5算法对签名后的交易记录生成一个128位的校验值,然后传输给FVM。FVM收到数据后,利用MD5算法对数据进行重新校验,若得到的校验值相同则校验通过,并在校验通过后将该“可疑数据”存储在FVM的证据仓库中。上述校验值也可以通过其它算法生成。为了保证FVM内部“可疑数据”的安全,取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问。若取证虚拟机中发现未签名的数据,则通知取证虚拟机的管理域Domain0并报警。
为了防止其它VM加载FVM的磁盘,从而对“可疑数据”进行修改,在图2所示的虚拟监控机中设有FVM保护模块,该模块负责监控系统磁盘读写相关的“超级调用”,当发现有非FVM中的程序请求通过“超级调用”读写FVM中的磁盘时,拒绝该程序的请求。
假设黑客E窃取了客户C的交易密码,其通过云应用1从C账户上转了10万人民币到自己账号上,则该黑客的交易操作可以被云应用1完整的记录下来,并存储在证据仓库中。客户C向公安机关报案后,公安机关从证据仓库中可以提取到客户C的交易记录,并在该记录中发现黑客E的ip地址,从而可以成功抓获黑客E。
表1.取证API示例1
表2.取证API示例2
假设黑客F发现B公司将交易服务部署在VS1中,于是便对VS1发起攻击,通过一系列黑客技术后成功入侵VS1主机。入侵之后黑客F发现VS1中的取证程序(提供取证API的主程序)正在运行,于是就强行关闭了该取证程序。Domain0每隔一分钟向VS1发送一个请求“request”,在VS1中的取证程序未关闭之前,取证程序每收到一个request,都会向Domain0发送一个回复。在本次事故中,由于取证程序已被黑客关闭,Domain0发送request后等待1分钟没有收到VS1发送回来的回复,于是Domain0向A公司的系统管理员发送报警信息,并启动虚拟机重放器(VM Player),VM Player通过下层的Xen Hypervisor对VS1中的系统行为进行了记录,记录信息包括黑客在VS1中执行的操作记录、安装的程序、对云应用1所实施的破坏等。A公司的系统管理员接到报警后打开VM Player,观看了黑客F对VS1进行入侵的回放记录,并及时向公安机关报警。接到报警后,专业的取证调查人员从VS1中提取系统日志,并从日志中获得了黑客F的ip地址,从而可以成功破获该案件。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (4)
1.一种云计算环境下的取证方法,其步骤包括:
1)云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;
2)云服务供应商为每一个经过审核的云应用颁发数字证书,云应用直接调用所述应用程序编程接口,利用所述数字证书对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机,所述取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问;所述可疑数据是指可能含有犯罪证据的定制的数据,包括某种日志或者某种内存易失性数据;
3)所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;若所述取证虚拟机中发现未签名的数据,则通知取证虚拟机的管理域并报警;在虚拟监控机中设有取证虚拟机保护模块,防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改;
4)对所述取证虚拟机中存储的可疑数据进行分析,获取数字证据;取证虚拟机的管理域定时向云服务提供商发送请求,云服务提供商收到后进行回复;若没收到回复,取证虚拟机的管理域报警且启动虚拟机重放器,记录云服务提供商的虚拟服务器的运行信息,包括系统运行的线程、程序发起的系统调用和用户对系统的操作记录,并在事后进行回放取证。
2.如权利要求1所述的方法,其特征在于,所述可疑数据包括登录日志、交易日志和虚拟服务器系统日志。
3.如权利要求1所述的方法,其特征在于,所述重新校验的方法为:所述取证虚拟机重新计算所述可疑数据的校验值,如果与步骤2)生成的校验值相同,则校验通过;如果与步骤2)生成的校验值不同,则校验不通过。
4.一种采用权利要求1所述方法的云计算环境下的取证系统,其特征在于,包括虚拟服务器、取证虚拟机和云应用,其间建立通信连接;
所述虚拟服务器由云服务提供商运行,其内设置用于取证的应用程序编程接口;
所述云应用直接调用所述应用程序编程接口,利用云服务供应商颁发的数字证书对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至所述取证虚拟机;所述可疑数据是指可能含有犯罪证据的定制的数据,包括某种日志或者某种内存易失性数据;
所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据,用于获取数字证据;所述取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问;所述取证虚拟机中若发现未签名的数据,则通知取证虚拟机的管理域并报警;所述取证虚拟机的管理域定时向云服务提供商发送请求,云服务提供商收到后进行回复,若没收到回复,取证虚拟机的管理域报警且启动虚拟机重放器,记录云服务提供商的虚拟服务器的运行信息,包括系统运行的线程、程序发起的系统调用和用户对系统的操作记录,并在事后进行回放取证;
所述取证系统还包括一取证虚拟机保护模块,设于虚拟监控机内,用于防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210170280.1A CN102739774B (zh) | 2012-05-28 | 2012-05-28 | 一种云计算环境下的取证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210170280.1A CN102739774B (zh) | 2012-05-28 | 2012-05-28 | 一种云计算环境下的取证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102739774A CN102739774A (zh) | 2012-10-17 |
| CN102739774B true CN102739774B (zh) | 2015-05-27 |
Family
ID=46994545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210170280.1A Active CN102739774B (zh) | 2012-05-28 | 2012-05-28 | 一种云计算环境下的取证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102739774B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095700B (zh) * | 2013-01-10 | 2017-03-08 | 公安部第三研究所 | 支持多终端的远程电子数据取证系统及取证控制的方法 |
| CN103106277A (zh) * | 2013-02-18 | 2013-05-15 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的取证方法 |
| CN104156669A (zh) * | 2014-08-11 | 2014-11-19 | 南京龙联信息技术有限公司 | 一种计算机信息取证系统 |
| CN104809156B (zh) * | 2015-03-24 | 2019-02-01 | 北京锐安科技有限公司 | 记录证据信息的方法和装置 |
| CN105119762A (zh) * | 2015-09-23 | 2015-12-02 | 普元信息技术股份有限公司 | 云平台基于日志实现交易回放和重做的系统及方法 |
| CN105183567B (zh) * | 2015-10-21 | 2018-10-16 | 南京大学 | 基于共享内存的云取证证据获取方法及系统 |
| CN105653352B (zh) * | 2015-12-31 | 2019-03-15 | 公安部第三研究所 | 操作系统虚拟仿真取证的方法 |
| CN106817373A (zh) * | 2017-01-23 | 2017-06-09 | 重庆邮电大学 | 一种面向私有云平台的取证方法 |
| CN108804200A (zh) * | 2018-05-17 | 2018-11-13 | 湖南文盾信息技术有限公司 | 一种基于虚拟机自省的服务器取证方法 |
| CN111522625B (zh) * | 2020-04-23 | 2023-02-28 | 公安部第三研究所 | 一种云端数据在线取证系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783841A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器协议分散 |
| CN101471825A (zh) * | 2007-12-26 | 2009-07-01 | 中国科学院声学研究所 | 利用声望模型的p2p流媒体系统节点有效性的检测方法 |
| CN101741619A (zh) * | 2009-12-24 | 2010-06-16 | 中国人民解放军信息工程大学 | 面向容忍入侵的自治愈j2ee应用服务器及其自治愈方法 |
-
2012
- 2012-05-28 CN CN201210170280.1A patent/CN102739774B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783841A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器协议分散 |
| CN101471825A (zh) * | 2007-12-26 | 2009-07-01 | 中国科学院声学研究所 | 利用声望模型的p2p流媒体系统节点有效性的检测方法 |
| CN101741619A (zh) * | 2009-12-24 | 2010-06-16 | 中国人民解放军信息工程大学 | 面向容忍入侵的自治愈j2ee应用服务器及其自治愈方法 |
Non-Patent Citations (3)
| Title |
|---|
| 云计算环境下的取证研究;吴同 等;《电信科学》;20101231(第12期);79-82 * |
| 云计算环境中面向取证的现场迁移技术研究;周刚;《中国博士学位论文全文数据库》;20110730;22-48 * |
| 计算机取证的相关法律技术问题研究;丁丽萍 等;《软件学报》;20051231;第16卷(第2期);1-16 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102739774A (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102739774B (zh) | 一种云计算环境下的取证方法及系统 | |
| Ab Rahman et al. | Forensic-by-design framework for cyber-physical cloud systems | |
| Sun et al. | Mind your weight (s): A large-scale study on insufficient machine learning model protection in mobile apps | |
| CN107852412B (zh) | 用于网络钓鱼和品牌保护的系统和方法、计算机可读介质 | |
| Ouedraogo et al. | Security transparency: the next frontier for security research in the cloud | |
| Gul et al. | Cloud computing security auditing | |
| CN108932189A (zh) | 保存服务器日志的方法和装置 | |
| Abiodun et al. | Data provenance for cloud forensic investigations, security, challenges, solutions and future perspectives: A survey | |
| Fowler | SQL server forenisc analysis | |
| CN111191240B (zh) | 互联网电子证据的采集方法、装置及设备 | |
| US11790638B2 (en) | Monitoring devices at enterprise locations using machine-learning models to protect enterprise-managed information and resources | |
| Jones et al. | Tracking emigrant data via transient provenance | |
| Hemdan et al. | CFIM: toward building new cloud forensics investigation model | |
| Verma et al. | Preserving dates and timestamps for incident handling in android smartphones | |
| Beltrán et al. | A privacy threat model for identity verification based on facial recognition | |
| Awajan et al. | Machine learning techniques for automated policy violation reporting | |
| Roy et al. | A Study on Google Cloud Platform (GCP) and Its Security | |
| Moreaux et al. | Blockchain assisted near-duplicated content detection | |
| US9172719B2 (en) | Intermediate trust state | |
| Das et al. | A Model of Cloud Forensic Application With Assurance of Cloud Log | |
| Shahin et al. | Big data platform privacy and security, a review | |
| CN108134781B (zh) | 一种重要信息数据保密监控系统 | |
| WO2020102925A1 (zh) | 一种混合环境下静态对象篡改的监测方法 | |
| AlSaed et al. | An Integrated Framework Implementation For Cloud Forensics Investigation Using Logging Tool | |
| JP2021517688A (ja) | セキュアデータ処理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |