CN106817373A

CN106817373A - 一种面向私有云平台的取证方法

Info

Publication number: CN106817373A
Application number: CN201710054154.2A
Authority: CN
Inventors: 杜江; 牟洋; 常亚翠; 王鹏; 颜骏
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2017-01-23
Filing date: 2017-01-23
Publication date: 2017-06-09

Abstract

本发明涉及一种面向私有云平台的取证方法，属于云计算和计算机取证领域。该方案通过提取防火墙日志和镜像日志实现云平台取证，包括Nova拓展模块和Horizon拓展模块，所述的Nova拓展模块通过Nova的扩展接口记录取证日志文件；所述Horizon拓展模块用于实现web页面上下载取证日志文件。本发明的优势在于：可以通过云管理平台而不是通过客户机去交互，并且加入了容器技术，更能在隔离的环境分主机去定位各主机日志数据，解决了多租户数据混杂的问题。

Description

一种面向私有云平台的取证方法

技术领域

本发明属于云计算和计算机取证领域，涉及一种面向私有云平台的取证方法。

背景技术

云计算的安全性越来越受到人们的关注，如果安全问题解决的不好，会成为制约其发展的关键。云计算拥有虚拟化、分布式处理、分布式存储等技术，这使得传统的数据安全的方法很难在云计算体系下有效果，它也具有多租户，数据异地匿名机制等特点，这给不法分子提供了很多犯罪的机会。云取证作为一个新兴的技术正在不断发展，它是云计算和计算机取证的交叉学科。云计算本身的特性使得传统的计算机取证框架取证工具不再适用，同时云取证过程比传统数字取证涉及的调查对象更多，不仅包括云用户，也包括云服务提供商等，交互也越来越复杂。

与传统的数字取证技术相比，云取证技术也面临各种的挑战。第一，云取证工具现在不太成熟，云取证的取证人员只能凭借以往的经验和传统取证技术，很可能破坏原始数据导致取证失败。第二，云服务模型不用会增加取证的难度，私有云和公有云架构的不同也会导致取证的难度不同。

目前云取证的理论研究情况，主要是证据获取和证据分析两方面。

证据获取阶段是指取证调查者借助取证工具对犯罪现场行证据收集的过程目前该领域的工作主要包括残余数据证据获取阶段是指取证调查者借助取证工具对犯罪现场行证据收集的过程。证据分析阶段是指取证调查者借助分析工具、分析算法对获取的证据进行分析的过程，该领域的研究工作主要集中在数据源的分析、事件重构、文件搜索和基于云的取证分析算法方面。

发明内容

有鉴于此，本发明的目的在于提供一种获取云平台日志的新方法，其应用于OpenStasck环境中，在该方法设计的目的是为了通过Nova的扩展接口，将我们取证日志文件比如防火墙等敏感日志给记录下来。

为达到上述目的，本发明提供如下技术方案：

一种面向私有云平台的取证方法，通过提取防火墙日志和镜像日志实现云平台取证，包括Nova拓展模块和Horizon拓展模块，所述的Nova拓展模块通过Nova的扩展接口记录取证日志文件；所述Horizon拓展模块用于实现web页面上下载取证日志文件。

进一步的，所述Nova拓展模块的实现环境是devstack，Nova拓展方法是通过创建一个新的extension子类派生于“nova.api.openstack.extensions:ExtensionDescriptor”，并覆写父类中的方法“get_resources()”，在方法“get_resources()”中，通过返回ResourceExtensions列表来注册新的资源类型或URL路径或Controller；默认情况下OpenStack默认不启动防火墙日志，通过扩展接口将防火墙所丢弃的数据包都放在一个特定的目录备份下来，再通过数据筛选的规则提取需要的日志，磁盘镜像日志存储在主机的系统中操作系统。

进一步的，所述特定的目录为“/opt/stack/logs”目录，每个服务有自己的日志文件，并从命名上区分；日志文件的命名规则为：Nova api的各个子服务的日志都以“n”开头；Glance的日志文件都是“g”开头；Cinder、Neutron的日志分别以“c”和“q”开头。

进一步的，所述Horizon拓展模块是基于Django框架，通过定制Dashboard来修改底层的源码，Dashboard里扩展添加一个panel，panel可以自己设计命名规则，在pannel定义好table表项，实现拓Horizon拓展，满足功能模块的web页面展示，并在web页面上下载防火墙日志和磁盘镜像日志。

本发明的有益效果在于：可以通过云管理平台而不是通过客户机去交互，并且加入了容器技术，更能在隔离的环境分主机去定位各主机日志数据，解决了多租户数据混杂的问题。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为本发明调查人员取证方式示意图；

图2为OpenStack架构。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

图1为本发明调查人员取证方式示意图，图2为OpenStack架构，本方案总共分为两个模块，主要提取防火墙日志和镜像日志供取证使用：

1、Nova拓展模块

设计的目的是为了通过Nova的扩展接口，将取证日志文件比如防火墙等敏感日志给记录下来，实验的环境是devstack，日志都统一放在/opt/stack/logs目录下，每个服务有自己的日志文件，可以从命名上区分。Nova api的各个子服务的日志都以“n”开头：比如n-api.log是nova-api的日志、n-cpu.log是nova-compute的日志。Glance的日志文件都是“g”开头：比如g-api.log是glance-api的日志，g-reg.log是glance-registry的日志。Cinder、Neutron的日志分别以“c”和“q”开头。

Nova拓展方法是创建一个新的extension子类应该派生于“nova.api.openstack.extensions:ExtensionDescriptor”，并覆写父类中的方法“get_resources()”，在方法“get_resources()”中,通过返回ResourceExtensions列表,来注册你的新的资源类型/URL路径/Controller等，参考代码如下：

以下代码会创建一个新的资源类型“mynova”：

defget_resources(self):

resources＝[]

res＝extensions.ResourceExtension('mynova',

MyNovaController(),

member_actions＝{})

resources.append(res)

return resources

为NovaAPI中已有的资源类型，添加新的controller方法，在mynova类中，覆写父类中的方法“get_controller_extensions”，在函数“get_controller_extensions”，返回一系列controller列表，这样新资源“mynova”会和URL匹配。

默认情况下OpenStack默认不启动防火墙日志，通过实现扩展接口，将防火墙所丢弃的数据包都放在一个特定的目录备份下来，再通过数据筛选的规则可以提取需要的日志，磁盘映像日志存储在主机的系统中操作系统，

2、Horizon拓展模块

通过定制Dashboard来，修改底层的源码，Dashboard里扩展添加一个panel，panel可以根据你自己命名规则，Horizon是基于Django框架的，在pannel定义好table等表项，就可以拓展好Horizon，满足功能模块的web页面展示，可以在web页面上下载防火墙日志和磁盘镜像日志。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims

1.一种面向私有云平台的取证方法，其特征在于：通过提取防火墙日志和镜像日志实现云平台取证，包括Nova拓展模块和Horizon拓展模块，所述的Nova拓展模块通过Nova的扩展接口记录取证日志文件；所述Horizon拓展模块用于实现web页面上下载取证日志文件。

2.根据权利要求1所述的一种面向私有云平台的取证方法，其特征在于：所述Nova拓展模块的实现环境是devstack，Nova拓展方法是通过创建一个新的extension子类派生于“nova.api.openstack.extensions:ExtensionDescriptor”，并覆写父类中的方法“get_resources()”，在方法“get_resources()”中，通过返回ResourceExtensions列表来注册新的资源类型或URL路径或Controller；默认情况下OpenStack默认不启动防火墙日志，通过扩展接口将防火墙所丢弃的数据包都放在一个特定的目录备份下来，再通过数据筛选的规则提取需要的日志，磁盘镜像日志存储在主机的系统中操作系统。

3.根据权利要求2所述的一种面向私有云平台的取证方法，其特征在于：所述特定的目录为“/opt/stack/logs”目录，每个服务有自己的日志文件，并从命名上区分；日志文件的命名规则为：Nova api的各个子服务的日志都以“n”开头；Glance的日志文件都是“g”开头；Cinder、Neutron的日志分别以“c”和“q”开头。

4.根据权利要求1所述的一种面向私有云平台的取证方法，其特征在于：所述Horizon拓展模块是基于Django框架，通过定制Dashboard来修改底层的源码，Dashboard里扩展添加一个panel，panel可以自己设计命名规则，在pannel定义好table表项，实现拓Horizon拓展，满足功能模块的web页面展示，并在web页面上下载防火墙日志和磁盘镜像日志。