云计算中网络取证问题分析

云计算中网络取证问题分析
李自龙?余军
摘要：随着云计算的出现，网络取证在调查过程中面临巨大挑战。

云计算的普及为有数据处理需求的用户提供极大的便利。

但数据和应用程序由第三方管理，隐私和安全方面的风险也在增加。

对网络取证人员在云环境调查取证中可能面临的难题进行分析与研究，将云计算中网络取证提出的困境分为取证人员、云服务提供商、取证工具及其他，并对云环境中取证问题进行部分改善。

关键词：云计算；云架构；云安全；云中网络取证困境
1 引言
电子数据取证是指“采用技术手段，获取、分析、固定电子数据作为认定事实的科学”。

网络取证为电子数据取证的其中一类。

网络取证是捕获，分析和调查网络流量的领域，旨在将攻击归因于某些特定的来源或嫌疑人。

重建网络犯罪活动，以得出为什么，如何以及由谁执行活动的结论。

网络取证框架涉及从准备开始到调查，收集和保存证据的一系列过程。

该过程通过对网络流量进行检查分析，再对案件进行调查，最终得出结论。

云计算是一种计算方法，是根据用户在互联网上的定制需求向客户提供灵活的计算和存储服务。

云计算的出现对网络安全领域带来巨大的挑战，也成为其扩展市场的瓶颈。

客户数据与其他用户数据共同存储在云端。

资源在云上的可扩展性是为客户提供灵活性的重要特征。

除了传统网络攻击之外，云环境会遇到新的攻击形式。

将云环境中的网络取证问题分为某些特定组，如使其与取证人员、云服务提供商和网络取证工具设计人员相关联，可以适当减轻取证难度。

2 文献综述
本文主要研究网络取证面临的问题，特别是在云环境中存在的问题。

Dominik和Christoph 在文献中强调，由于云架构中的分散功能，使用常规取证技术在云中进行取证是不够的。

没有统一标准是在云环境中进行系统的取证调查的障碍。

Ahmad Almulhem认为，要成功实施
网络取证，网络基础设施应完全支持取证活动，这是一项艰巨的任务。

其中存在多个数据源，决定要保留的数据的可信度，数据完整性，与隐私相关的问题和不同格式数据的分析等。

Elias和Xenofontas 分析多个数据源，对安全事件的真实性进行评论。

通过对广泛的安全事件的系统研究，确立使用多个取证工具的综合工作可以产生准确可靠的结果。

网络取证为网络安全领域发挥重要作用的取证学科之一。

处理复杂的海量数据，特别是网络端口扫
描攻击，可以通过应用严格过滤包括日志文件中的数据包的技术来处理。

蜜陷是一种有价值和低成本的技术，可以通过捕获网络流量并建立与通过常规网络取证工具监控的数据的关系来构建网络取证过程。

3 云的特征与架构
云计算是目前讨论最多的技术之一，但是研究人员和技术人员对安全问题却额外重视。

云架构在工业领域以显著的特点和灵活的部署技术迅速发展，改变着人们的生活。

其主要特点如下：
3.1 云特征
云计算的显著特征是简单易用的交互模型。

客户端或用户无需专业知识了解云的底层技术细节知识也可以使用其服务[9]。

云的以下功能使其与传统系统有所区别：
（1）资源池：用户根据云的不断变化的需求定制服务，其中一般包括服务提供商管理的处理数据能力、存储介质和应用环境。

客户以低成本访问资源池，建立和维护等效服务[6]。

（2）多终端：客户可以使用包括个人电脑、笔记本电脑、IPad或移动电话等多种终端设备通过网络获得云资源。

（3）按需自助服务：客户有权自定义服务，与云服务提供商没有或进行间接交互。

（4）快速弹性：云计算向用户提供的服务是可变的，允许用户根据要求随时升级或减少服务。

（5）付费：客户需要支付一定的费用才可以使用服务，客户和服务提供商都负有责任。

3.2 服务模式
云计算服务分为三层，为客户提供服务。

即基础架构即服务（Infrastructure-as-a-service，IaaS），软件即服务（Software-as-a-service，SaaS）和平台即服务（Platform-as-a-service，PaaS），每个层本身都是一个完整的服务模型[10]。

最底层是IaaS，其中服务提供者汇集资源，向客户提供硬件，网络，计算和存储服务。

IaaS提供网络和硬件的基础设施，包括服务器机器、存储介质、虚拟机、网络和安全设备等，用户可以根据技术要求安装操作系统和应用程序。

中间层PasS建立了安装某些应用或环境模拟的平台供用户使用。

用户将其定制的软件或应用程序放在云计算环境中进一步使用。

SaaS向其客户提供软件应用程序作为服务。

客户利用云服务提供商的远程软件对数据进行管理。

3.3 部署模型
部署模型将云架构分为私有，公共和混合。

私有云模型将整个资源投入到为获取其资源或服务付费的单个组织中。

公共云出售并将其资源池共享给多个组织。

混合云通过合并两个或多个其他云模型来满足用户的一些额外的计算或存储需求。

3.4 云安全的挑战
云安全问题主要对用户造成严重影响，云架构的不安全性只对用户最有价值的数据造成威胁。

尽管云计算领域发展迅速，但目前云模式的安全問题是大部分客户不愿意采用云技术的关键因素。

影响云安全主要有以下几个原因：
（1）外包。

在云计算中，客户的数据和应用与服务提供商处，因此客户端失去对其的控制，这是客户最担心的问题。

客户对其数据没有控制权，甚至在某种程度上，有时不知道其数据的位置。

这就要求用户对于服务提供者不仅可信，而且还能够保护数据的机密性、完整性、可用性和隐私性。

云数据处于云服务提供商提供存储、软件、应用程序或基础设施服务的访问风险中。

除了来自云服务提供商的政策外，来自客户端的规则也同样适用于数据，假如政策相悖冲突就会发生。

（2）多租户。

服务提供商的云平台实际上是多个客户共享平台。

即使在虚拟化环境情况下，一台物理主机也可能存储不同客户端的数据。

在多租户体系结构中放置在共享存储上的敏感数据暴露对用户危害极大。

当数据的位置对数据所有者是未知的情况下，情况变得更糟。

（3）海量数据和超强计算。

云计算处理的是密集计算和海量数据，因此与传统的安全措施相比，需要一些特殊的安全策略来保护它。

需要高端网络和安全设备满足数据处理和保护免受云架构攻击。

云的部署和服务模式及其特点如图1所示：
图1.云模型和服务
4 云计算环境中网络取证的挑战
网络取证是指相关专业人员使用专门设备收集、保存和分析网络流量进行调查的方法。

该方法甚至可
以作为网络安全模型的补充。

该技术不仅能识别从外部在网络上发起的攻击的类型和技能，还有助于监测内部人员的恶意行为。

云基础设施的海量数据处理能力对云环境中网络取证提出严格要求。

云计算体系结构与传统系统网络取证最大区别是云计算中的网络取证流程是全新的。

需要云服务提供商开发有效的技术，以协助取证调查。

云环境网络取证领域出现的问题至今尚未解决。

4.1 云架构对网络取证提出的挑战：
（1）海量数据分析（网络流量）。

云环境以网络流量的形式传输大量数据。

技术的进步需要更高带宽支撑其正常运行，从而增加了网络流量。

通常，网络中携带有各种类型的数据，包括数据流量、管理流量、协议数据和存储在设备上的日志等。

捕获所有数据形成海量数据转储，这需要大量的时间和资源用于后续分析。

具体来说，在云环境中，网络数据会倍增，因为云可能为多个客户端或组织提供服务，网络同时容纳所有数据。

收集和分析数据需要网络取证中特殊工具和相关技术，而传统技术和工具因技术和处理数据能力缺陷可能无法正常工作，急需新技术、开发工具来替代。

（2）网络取证工具的存储空间限制。

捕获、分析大量的网络流量对网络取证工具的存储空间是一个限制。

一旦在云环境中执行网络取证，多个客户数据就会增加存储空间问题。

为了忽略不相干的流量，取证人员需要采用精确的过滤机制对相关流量进行分析，并确保数据的准确性不受影响。

（3）访问云网络设备。

电子数据取证一般是通过查封设备或存储开始调查，但在云环境中查封设备比较困难。

取证过程中，尽管云服务提供商允许访问网络，但需要提供云基础设施的国家的法律许可，访问某个国家的服务提供者的网络需要取得授权。

（4）访问云上的数据。

客户的数据可能会分布在不同位置的多个存储介质上。

数据以各种格式存储在不同区域服务提供商的存储介质下，要求取证人员专业、熟练访问存储在网络中的数据。

4.2 云环境中网络取证挑战的分类
云环境中网络取证所面临的挑战可以由取证人员，云服务提供商或通过开发管理工具来处理，但还是存在无法解决的问题。

（1）取证人员。

网络取证存在的问题可以由取证人员进行部分控制。

网络中的海量数据的收集和分析可以通过取证人员的精确过滤进行部分优化。

取证人员通过巧妙地识别除嫌疑人之外的用户的数据，忽略处理网络上与用户不相关的隐私数据。

取证人员的知识和技能有助于形成多个数据资源的证据链。

（2）取证工具。

可以通过提高工具的存储容量来克服取证工具的存储空间限制，尽管可以实现，但高成本成为其普及的障碍。

开发基于云计算的网络取证工具，对特殊领域数据针对性提取。

（3）云服务提供商。

云服务提供商可以使用自定义的脚本或过滤器配置网络设备，使日志
内容更有价值。

云服务提供商的政策将决定访问网络设备途径和存储数据能力。

与取证人员及时建立流畅的会话通道，积极提供取证所需相关信息。

（4）其他。

基于云架构的分布式证据的性质不能改变。

一国法律规定是否支持对网络基础设备进行访问是一个不容忽视的问题。

建立针对云计算的取证统一标准规则和流程。

5 结论
网络取证是电子数据取证的延伸，是一门科学的对网络流量和网络设备的数据捕获、保存、分析和归档的技术，目的是调查嫌疑人是否与某项活动相关。

云环境中网络取证，需要专业技术和开发专门取证工具。

取证人员应熟练掌握云架构中的各种网络设备。

取证标准的起草对于成功推进网络取证程序非常有帮助。

本文提出的云环境中网络取证的分类，对云环境中取证问题有所部分改善。

参考文献
[1]刘浩阳，李锦，刘晓宇.电子数据取证[M].北京：清华大学出版社，2015：6-8.
[2]Sara Hamouda.Security and Privacy in Cloud Computing[C].Cloud Computing Technologies， Applications and []Management.2012：241-245.
[3]Dominik Birk，Christoph Wegener. Technical Issues of Forensic Investigations in Cloud Computing Environments[C]. IEEE Sixth International Workshop.2011：1-10.
作者簡介
李自龙（1987-），男，甘肃古浪人，汉族，甘肃政法学院硕士学生，在读硕士研究生学历，研究方向：物证技术学。

-全文完-。