CN103106277A - 一种基于云计算的取证方法 - Google Patents
一种基于云计算的取证方法 Download PDFInfo
- Publication number
- CN103106277A CN103106277A CN2013100523527A CN201310052352A CN103106277A CN 103106277 A CN103106277 A CN 103106277A CN 2013100523527 A CN2013100523527 A CN 2013100523527A CN 201310052352 A CN201310052352 A CN 201310052352A CN 103106277 A CN103106277 A CN 103106277A
- Authority
- CN
- China
- Prior art keywords
- daily record
- evidence
- data
- record data
- cloud computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
一种基于云计算的取证方法,涉及计算机应用领域,为了提高计算机取证的可靠性、缩短取证时间,所述方法,包括:1)将服务器集群中的物理资源通过云计算虚拟化为一个云系统;2)当某一个或多个物理资源出现异常时,通过云计算代理采集所述云系统的日志数据;3)通过对所述日志数据的分析和挖掘,获得与所述出现异常的物理资源相关的证据信息。本发明的基于云计算的取证方法,实现了计算机物理资源的动态整合,并将证据多份备份,提高可靠性。智能获取数据,通过数据集中存储减少了数据泄露的可能性、缩短了取证时间。
Description
技术领域
本发明涉及计算机应用领域,具体涉及一种基于云计算的取证方法。
背景技术
随着计算机网络的飞速发展,各行各业的日常工作都越来越离不开计算机的应用,而涉及计算机和互联网的高科技犯罪、商业欺诈等现象也越来越频繁地发生,因此,为了有效防止和打击计算机犯罪,必须向有关法律部门提交真实可信的电子证据,计算机取证学因此应运而生。计算机取证就是对计算机犯罪的证据进行获取、保存、分析和归档,它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。
发明内容
为了提高计算机取证的可靠性、缩短取证时间,本发明提出一种基于云计算的取证方法。
为了解决上述技术问题,本发明提供了一种基于云计算的取证方法,包括:
1)将服务器集群中的物理资源通过云计算虚拟化为一个云系统;
2)当某一个或多个物理资源出现异常时,通过云计算代理采集所述云系统的日志数据;
3)通过对所述日志数据的分析和挖掘,获得与所述出现异常的物理资源相关的证据信息。
进一步地,步骤2)前还包括:
对所述日志数据进行标准化,并且验证所述日志数据的完整性。
进一步地,步骤3)之后还包括:
对所述证据信息进行分析和追踪,向云系统的主机或者控制器反馈。
进一步地,所述云计算的物理资源包括基础设施层和中间层;
所述基础设施层包括:服务器集群中的各主机、分布式存储设备、网络和关系数据库服务器;
所述中间层包括:为基础设施层提供的多租户服务的服务器、并行处理服务的服务器和分布式缓存服务的服务器。
进一步地,所述日志数据包括主机数据和网络数据;
所述主机数据包括:操作系统日志、应用程序日志和基于目标的信息;
所述网络日志包括:防火墙日志、入侵检测系统IDS日志和其他网络工具产生的记录和日志。
进一步地,对所述日志数据进行标准化,并且验证所述日志数据的完整性,包括:
将获得的日志数据分为文件类、账户类、系统类、策略更改类、网络类、攻击类;
通过数字签名、时间戳和水印验证所述日志数据的完整性。
进一步地,证据分析的内容包括:计算机类型、采用的操作系统类型、是否有隐藏的分区、有无可疑外设、有无远程控制;
证据挖掘包括:关联规则挖掘、序列模式挖掘和孤立点挖掘;
所述关联规则挖掘是将日志数据中的大量按特定规律分布的关联规则挖掘出来;
所述序列模式挖掘是找到入侵行为的时间序列、事件序列特征;
所述孤立点挖掘是挖掘日志数据中的异常数据,找出异常数据模式。
进一步地,对所述日志数据进行标准化为:将所述日志数据按比例缩放,使之落入一个预定的数值区间。
进一步地,所述按比例缩放为:通过线性或非线性的函数变换,将所述日志数据映射到所述数值区间。
与现有技术相比,本发明的基于云计算的取证方法,实现了计算机物理资源的动态整合,并将证据多份备份,提高可靠性。智能获取数据,通过数据集中存储减少了数据泄露的可能性、缩短了取证时间。
附图说明
图1为本发明实施例的云计算模型的结构示意图;
图2为本发明实施例的云计算的取证方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例提出了一种基于云计算的取证方法,运用云计算中的虚拟化技术,将众多计算机资源整合为一个强大的虚拟计算机,从而实现计算机犯罪证据的多重备份,大大提高取证的效率和准确率。采用云计算中的代理(agent)技术自主、智能的获取日志数据,通过日志数据集中存储减少了数据泄露的可能性。证据分析过程采用云计算的协作技术,缩短了取证时间,引入了反馈机制,使取证体制更加完善。
从云计算模式的基本理论和云计算演化规律来看,云计算的关键技术主要包括了虚拟化技术、分布式处理技术、海量分布式存储技术、协作技术等。本发明是以云计算关键技术中的虚拟化技术和协作技术构建了计算机取证模型。
(1)虚拟化技术
虚拟化是实现云计算的最重要的技术基础,虚拟化技术实现了物理资源的逻辑抽象和统一表示。通过虚拟化技术可以提高资源的利用率,并能够根据用户业务需求的变化,快速、灵活地进行资源部署。虚拟化可以在不同层次上实现,包括服务器虚拟化、存储虚拟化、网络虚拟化、应用或服务虚拟化、云端设备虚拟化等。
(2)协作技术
单个计算机或服务处理能力总是有限的,而云环境下服务器集群对数据处理能力大大提高了,但这需要各计算机和服务器集群的相互协作,这样,可以大大提高用户处理项目的速度及付出的代价。
(3)agent技术(代理技术)
在分布计算领域,人们通常把在分布式系统中持续自主发挥作用的、具有以下特征的活着的计算实体称为Agent。
a.自主性:Agent具有属于其自身的计算资源和局部于自身的行为控制机制,能够在没有外界直接操纵的情况下,根据其内部状态和感知到的环境信息,决定和控制自身的行为。
b.交互性:Agent能够与其他Agent(包括人),用Agent通信语言实施灵活多样的交互,能够有其他Agent协同工作。
c.反应性:Agent能够感知所处的环境(可能是物理世界,操纵图形界面的用户,或其他Agent等),并对相关事件作出适时反应。
d.主动性:Agent能够遵循承诺采取主动行动,表现出面向目标的行为。
一种基于云计算的取证方法,包括:
1)将云计算的物理资源通过云计算虚拟化为一个云系统;
2)当某一个或多个物理资源出现异常时,通过云计算代理采集所述云系统的日志数据;
3)通过对所述日志数据的分析和挖掘,获得证据信息。
步骤2)中,能够通过云系统中物理资源各数据采集Agent,自主、智能地获取需要的日志数据。
步骤2)还包括:
对所述日志数据进行标准化,并且验证所述日志数据的完整性。
步骤3)之后还包括:
对所述证据信息进行分析和追踪,向云系统的主机或者控制器反馈。
把前面证据分析和追踪结果进行汇总,并得出分析结论,以便以证据形式提交司法机关。
所述云计算的物理资源包括基础设施层和中间层;
所述基础设施层包括:云计算中的主机、分布式存储、网络和关系数据库;
所述中间层包括:为基础设施层提供的多租户服务、并行处理服务和分布式缓存服务。
在取证检查中,发生异常的计算机一般称为目标计算机,异常可以是文件系统数据受到破环或受到病毒攻击。
本发明将基础设施层的各主机、分布式存储、网络等通过虚拟化技术,在服务器集群中生成一个虚拟机,这样可以大大降低服务器的购置成本和运维成本;且在数据采集及日志分析过程中,使各主机与服务器集群协同工作,以最小代价及较高效率来完成取证工作。
所述日志数据包括主机数据和网络数据;
所述主机数据包括:操作系统日志、应用程序日志和基于目标的信息;
所述网络日志包括:防火墙日志、入侵检测系统IDS日志和其他网络工具产生的记录和日志。
其他网络工具主要涉及网络安全的工具,网络嗅探工具,如wireshark、tcpdump等。
因为云系统采用的是分布式存储,分布式存储提供多个存储副本,所以可以实现多重备份。日志数据的集中存储会增加非法访问数据的难度,应用程序的设计中包含有防止对未授权数据的访问数据标签。
计算机证据来源主要包括2个方面:(1)主机数据:操作系统日志、应用程序日志和基于目标的信息;(2)网络数据:防火墙日志、IDS日志和其他网络工具产生的记录和日志。证据获取主要依靠现有的取证工具,如计算机系统和文件的基本信息获取工具、磁盘映像工具、磁盘特殊区域数据获取工具等。通过日志捕获工具获得基于主机的日志,经过格式化后存入日志库,方便证据分析。基于网络的数据获取主要依靠信息获取工具与入侵检测技术、蜜罐技术等紧密结合,通过在Win32系统中安装WinPcap来捕获数据包,存入日志库中,方便后面证据分析。
对述日志数据进行标准化,并且验证所述日志数据的完整性,包括:
将获得的日志数据分为了文件类、账户类、系统类、策略更改类、网络类、攻击类;
通过数字签名、时间戳和水印验证所述日志数据的完整性。
标准化是将数据按比例缩放,使之落入一个小的特定区间,例如[0,1]。通过函数变换(线性或非线性的变换)将其数值映射到上述数值区间。
证据保全即在取证过程中解决证据完整性验证问题,保证所获得证据的完整性和真实性。在证据保全过程中,最常用的是数字签名技术、时间戳技术及水印技术。
证据分析的内容包括:计算机类型、采用的操作系统类型、是否有隐藏的分区、有无可疑外设、有无远程控制;
证据挖掘包括:关联规则挖掘、序列模式挖掘和孤立点分析;
所述关联规则挖掘是将日志数据中的大量按特定规律分布的关联规则挖掘出来;
所述序列模式挖掘是找到入侵行为的时间序列、事件序列特征;
所述孤立点分析是分析日志数据中的异常数据,找出异常数据模式。
证据的分析作为计算机取证的核心和关键,主要通过数据挖掘技术对获得的日志进行挖掘,获取证据。证据分析的内容主要包括:计算机的类型,采用的操作系统类型,是否有隐藏的分区,有无可疑外设,有无远程控制等。利用数据挖掘技术挖掘所需的证据:通过关联规则挖掘,将日志中的大量按特定规律分布的关联规则挖掘出来;通过序列模式挖掘,找到入侵行为的时间序列、事件序列特征;通过孤立点分析,分析数据中的异常数据,找出异常数据模式,获取证据信息。
利用静态取证及动态取证技术来实现证据信息的获得。
计算机静态取证主要是针对单机取证并研究,如何恢复单机硬件设备上的信息。具体方式:取证人员依照法律规定和取证程序,由具有法律资格人员对计算机硬件的原始数据进行保全、检查、分析、然后从中找出与案件有关的数字证据并作出具有法律效应的检测分析报告,以证明违法犯罪事实的存在。
计算机动态取证是指计算机处于开机状态或连接互联网的情况下进行的取证。具体方式:取证人员依照法律规定和取证程序,有具有法律资格人员对处于开机或联网状态下的计算机及其相关计算机设备(包括交换机、路由器等)的内存数据、网络活动数据、系统运行状况等进行相关的数据实时监控、分析和保存,从中发现相关的犯罪证据,作出具有法律效应的检测分析报告,以证明违法犯罪事实的存在。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种基于云计算的取证方法,其特征在于:所述方法包括:
1)将服务器集群中的物理资源通过云计算虚拟化为一个云系统;
2)当某一个或多个物理资源出现异常时,通过云计算代理采集所述云系统的日志数据;
3)通过对所述日志数据的分析和挖掘,获得与所述出现异常的物理资源相关的证据信息。
2.如权利要求1所述的取证方法,其特征在于:步骤2)前还包括:
对所述日志数据进行标准化,并且验证所述日志数据的完整性。
3.如权利要求1所述的取证方法,其特征在于:步骤3)之后还包括:
对所述证据信息进行分析和追踪,向云系统的主机或者控制器反馈。
4.如权利要求1所述的取证方法,其特征在于:所述云计算的物理资源包括基础设施层和中间层;
所述基础设施层包括:服务器集群中的各主机、分布式存储设备、网络和关系数据库服务器;
所述中间层包括:为基础设施层提供的多租户服务的服务器、并行处理服务的服务器和分布式缓存服务的服务器。
5.如权利要求1所述的取证方法,其特征在于:所述日志数据包括主机数据和网络数据;
所述主机数据包括:操作系统日志、应用程序日志和基于目标的信息;
所述网络日志包括:防火墙日志、入侵检测系统IDS日志和其他网络工具产生的记录和日志。
6.如权利要求2所述的取证方法,其特征在于:对所述日志数据进行标准化,并且验证所述日志数据的完整性,包括:
将获得的日志数据分为文件类、账户类、系统类、策略更改类、网络类、攻击类;
通过数字签名、时间戳和水印验证所述日志数据的完整性。
7.如权利要求1所述的取证方法,其特征在于:证据分析的内容包括:计算机类型、采用的操作系统类型、是否有隐藏的分区、有无可疑外设、有无远程控制;
证据挖掘包括:关联规则挖掘、序列模式挖掘和孤立点挖掘;
所述关联规则挖掘是将日志数据中的大量按特定规律分布的关联规则挖掘出来;
所述序列模式挖掘是找到入侵行为的时间序列、事件序列特征;
所述孤立点挖掘是挖掘日志数据中的异常数据,找出异常数据模式。
8.如权利要求2或6所述的取证方法,其特征在于:对所述日志数据进行标准化为:将所述日志数据按比例缩放,使之落入一个预定的数值区间。
9.如权利要求8所述的取证方法,其特征在于:所述按比例缩放为:通过线性或非线性的函数变换,将所述日志数据映射到所述数值区间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100523527A CN103106277A (zh) | 2013-02-18 | 2013-02-18 | 一种基于云计算的取证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100523527A CN103106277A (zh) | 2013-02-18 | 2013-02-18 | 一种基于云计算的取证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103106277A true CN103106277A (zh) | 2013-05-15 |
Family
ID=48314132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100523527A Pending CN103106277A (zh) | 2013-02-18 | 2013-02-18 | 一种基于云计算的取证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103106277A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN104392185A (zh) * | 2014-12-01 | 2015-03-04 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
| CN105139322A (zh) * | 2015-07-02 | 2015-12-09 | 盘石软件(上海)有限公司 | 一种分布式的电子数据取证系统及方法 |
| CN108418815A (zh) * | 2018-02-12 | 2018-08-17 | 国网浙江省电力有限公司 | 用户虚拟机数据访问证据收集方法及系统 |
| CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN109787964A (zh) * | 2018-12-29 | 2019-05-21 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739774A (zh) * | 2012-05-28 | 2012-10-17 | 中国科学院软件研究所 | 一种云计算环境下的取证方法及系统 |
| CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
| CN102891864A (zh) * | 2011-07-18 | 2013-01-23 | 北京邮电大学 | 基于分布式Agent的云资源可信数据获取与分析方法 |
-
2013
- 2013-02-18 CN CN2013100523527A patent/CN103106277A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891864A (zh) * | 2011-07-18 | 2013-01-23 | 北京邮电大学 | 基于分布式Agent的云资源可信数据获取与分析方法 |
| CN102739774A (zh) * | 2012-05-28 | 2012-10-17 | 中国科学院软件研究所 | 一种云计算环境下的取证方法及系统 |
| CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN104392185A (zh) * | 2014-12-01 | 2015-03-04 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
| CN104392185B (zh) * | 2014-12-01 | 2017-11-10 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
| CN105139322A (zh) * | 2015-07-02 | 2015-12-09 | 盘石软件(上海)有限公司 | 一种分布式的电子数据取证系统及方法 |
| CN105139322B (zh) * | 2015-07-02 | 2019-01-25 | 盘石软件(上海)有限公司 | 一种分布式的电子数据取证系统及方法 |
| CN108418815A (zh) * | 2018-02-12 | 2018-08-17 | 国网浙江省电力有限公司 | 用户虚拟机数据访问证据收集方法及系统 |
| CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN109639648B (zh) * | 2018-11-19 | 2020-07-07 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN109787964A (zh) * | 2018-12-29 | 2019-05-21 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103106277A (zh) | 一种基于云计算的取证方法 | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| EP3152869B1 (en) | Real-time model of states of monitored devices | |
| Cárdenas et al. | Big data analytics for security | |
| CN112765245A (zh) | 一种电子政务大数据处理平台 | |
| US10972475B1 (en) | Account access security using a distributed ledger and/or a distributed file system | |
| TWI726834B (zh) | 用於產生可供診斷標的網路系統是否受到駭客入侵攻擊的可疑事件時序圖的網路安全漏洞診斷系統 | |
| CN107196910A (zh) | 基于大数据分析的威胁预警监测系统、方法及部署架构 | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN103618652B (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
| CN106170772A (zh) | 网络安全系统 | |
| CN102790706B (zh) | 海量事件安全分析方法及装置 | |
| CN107004086A (zh) | 安全信息和事件管理 | |
| Khan et al. | Towards an applicability of current network forensics for cloud networks: A SWOT analysis | |
| CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| CN102708330A (zh) | 一种防止系统被入侵的方法、入侵防御系统及计算机 | |
| KR20180086919A (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| CN110334899A (zh) | 一种基于机器学习的增强型运维审计方法 | |
| Sun et al. | Advances in Artificial Intelligence and Security: 7th International Conference, ICAIS 2021, Dublin, Ireland, July 19-23, 2021, Proceedings, Part III | |
| CN113239401A (zh) | 一种基于电力物联网的大数据分析系统、方法及计算机存储介质 | |
| Min et al. | Research on Electronic Data Forensics Model under Cloud Computing | |
| Li et al. | Research on the network security management based on data mining | |
| CN107786363A (zh) | 一种基于云监测平台的管理技术 | |
| MM | SECURE PROVENANCE METHOD FOR TRACEABILITY AND TROUBLESHOOTING IN SDN DEPLOYMENTS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130515 |