面向云环境的取证技术研究报告

面向云环境的取证技术研究
随着云计算技术的迅猛开展，云环境下的取证技术成为了当前的一个研究热点。

与传统的数字取证技术不同，云取证所面对的系统构造更加复杂、数据规模更加巨大。

就拿一个小规模的云来举例，假设该系统中有2000个节点，每个节点磁盘空间为320GB，RAM为2GB，则总的磁盘取证空间是640TB、RAM取证空间为4TB，即使不考虑节点间操作系统及文件系统的不同，如此庞大的数据量是传统取证技术无法胜任的。

因此，如何从云中获取完整可靠的证据数据是当前云取证研究的难点问题【1】。

具体来说，云取证主要面临以下4大技术难题。

1)云中数据物理存放地点围太大。

云数据中心由成千上万台拥有大容量存储设备的PC组成，云系统屏蔽了下层数据存储的实现细节，只对用户提供一个逻辑上单一的数据存放地址，因此，要想获得云中数据的物理存放地址并非易事【2】。

2)云应用产生的逻辑上相关的数据可能被分散存放。

云应用所产生的数据被统一存储在逻辑上连续的地址空间中，而这些数据的物理存放地址可能并不连续，甚至可能被分散在好几个不同的存储设备中。

3)待取证数据规模大，而真正与犯罪相关的信息很少。

云中存储着海量数据，从如此大规模的数据中提取证据信息有如大海捞针。

就以IaaS模型举例，一个虚拟机镜像小则几GB，大则几十至几百GB，而存储在这些镜像中的关键证据信息可能就只有几KB。

4)云的弹性扩展机制要求取证能及时适应系统规模的变化，即实现弹性取证【3】。

弹性扩展是云系统的关键特征，它能在云应用运行期间实现支撑云应用的虚拟机实例个数的动态增加或者减少。

当虚拟机实例个数减少时，假设不能及时提取出残留在该虚拟机实例中的证据信息，则这些证据信息很可能会丧失，且难以恢复【4】。

与传统的数字取证技术相比，云取证技术面临的挑战主要包括2个方面。

首先，没有成熟的云取证工具供调查人员使用，云取证活动主要依靠调查人员掌握的传统的取证技术及相关经历，假设调查人员操作不当很可能会破坏原始证据信息，从而导致取证失败。

其次，证据信息的获取难度及方法会随着云效劳模型及部署模型的不同而不同【5】。

例如，相对于公有云而言，私有云架构更加清晰、云数据的存放节点地点固定，因此私有云模式下的取证难度远小于公有云；相对于软件即效劳(SaaS,soft-wareasaservice)模型而言，IaaS模型能提供更多底层的数据供调查人员取证分析，因此IaaS模型下的取证难度会小于SaaS模型。

目前，国外学者对于云取证的研究进展了初步性的探索：中国政法大学的小恺等人主要研究了云计算环境下的计算机侦查取证问题[6]，从云计算关键技术和特点出发，对计算机取证面临的问题进展了深入分析，并提出了相关对策；武鲁等人提出一种基于云的计算机取证系统的设计方案[7]，主要是在分析和研究云环境下的平安缺陷和平安威胁的前提下，利用传统电子取证技术解决云环境的平安问题，同时借助云计算具有的高性能计算能力来满足取证工作对于高性能计算的需求；美亚的超通过对云计算环境下面临平安问题深入分析，探讨了云计算环境下的调查取证与分析。

Keyun等人对150多位数字取证专家进展了采访，列举出了他们对云取证领域的一些关键问题的看法，如云取证技术面临着哪些挑战、带来了哪些机遇，有哪些有价值的研究方向等【8】。

Birk等人从技术的角度剖析了云取证所面临的技术难题【5】，而Reilly等人则从法律的角度分析了云取证技术所面临的法律障碍【9】等等。

以下将从在云取证的各个方面来探讨当前的研究现状。

证据识别
在文献[10]中，作者认为，由于云计算系统的攻击是无声无息的，因为特定于云的攻击并不一定会在节点的操作系统上留下痕迹，所以传统的IDS系统对于云计算系统是无效的。

因此作者提出了将IDS放置在云计算架构中的上下文中的想法，并且提出了一个系统原型，即the Grid and Cloud puting Intrusion Detection System (GCCIDS)。

针对不同类型的云效劳，
相应的解决方案也不一样。

对于私有云，只需将IDS放置在效劳端即可；而对于公有云则采用多层架构：用户端可以通过IDS监视可疑事件，并向效劳商报告，效劳端通过IDS监视根底架构，以发现针对于多数用户的大规模攻击。

以下是GCCIDS的原型架构，该系统中包含一个审计模块。

其中，
Node：提供效劳的资源节点；
Service：提供各种效劳，以便于各个组件之间进展通信；
Event Auditor 事件审计器是该系统的关键模块，它从不同的资源中抓取数据，例如日志系统，效劳和节点信息等以此来监听各种事件；
Storage Service：保存用于IDS Service 分析的数据。

IDS Service提供两种方法来进展入侵Analyzer and Alert System：基于行为和基于知识的分析系统。

当发现可能的攻击时，通知其他的节点。

在文献【11】中，作者也同样提出了将IDS系统置入云架构中的方法，但针对性有所不同。

作者认为，云架构的复杂性和用户的多样性导致了不同的的用户有不同的平安需求，特别对于用户来说，一个棘手的问题则是用户失去了对使用资源的整体控制。

而对于CSP来说，提供给用户对所用资源的完全控制权是完全必要的，因为用户会根据需求的不同来对资源进展不一样的配置和使用。

并且，为了关联和分析来自不同局部传过来的警告信息，一个中心管理单元必要的。

此外IDS系统还必须具备一定的扩展性，以适应不同的环境，例如基于VM的环境和基于网络的环境.而且针对云架构的三个不同层次〔应用层、平台层、系统层〕，会遇到不同地攻击，例如，应用层：例如用户运行一个，攻击者可能会利用*SS〔跨站攻击〕，用户可能通过注入JS脚本代码的方式来获取用户的信息等。

针对上述问题，作者提出了一个可扩展的IDS管理架构，由一些传感器和一个管理中心组成。

首先，在客户端和效劳端都必须安装相应的IDS,在客户端,需要安装与提供效劳相隔离的IDS，否则IDS在客户端被控制之后就会失去作用。

并且用户需要根据自己的需求来对不同的应用来对IDS进展不同的配置。

CSP效劳端：也需要安装相应的IDS，并与所监视的对象隔离。

因为它所提供的根底架构也可能遭致不同的攻击，这些攻击可能来自外部或者用户。

其IDS配置可能如以下图所示：上图由两个局部组成：一个IDS传感器虚拟机〔IDS Sensor VMs〕和IDS管理单元。

系统通过Event Gatherer与安装在每个VMs中的IDS进展通信，Sensor的警告信息传到管理中心，并统一格式化持久存储到数据库或文件中。

然后又分析模块Analysis ponent 进展分析，然后以*种应对措施来通知IDS Remote Controller ，对VM进展干预。

并且通过IDS Remote Controller ,用户可以配置自定义的的IDS。

证据保全
潜在证据的数据量问题〔Storage Capacity〕
由于云计算的灵活性，例如用户的按需付费，用户可能会需求无限制的数据存储能力。

而这对于取证人员来说，也相应需要存储这些潜在的证据。

这些数据怎么保全是一个比较棘手的问题。

一个方案是把这些数据存储到云存储中心，但随之而来的问题便是如何保证这些证据的平安和隐私以及这些操作本身对证据的影响。

而在为了减少数据里的问题上，在传统取证中有的人提出了分类〔Triage〕的技术，该方法允许调查人员能够专注于*一时期最有价值的那局部证据的分析，而不是整个所有的证据。

因此在云环境下，一个对应的模型被Rogers 等人[12]提出来，即CFFTPM〔The puter Forensics Field Triage Process Model〕。

该模型的工作原理如下:每个用户拥有独立的主目录〔home directory〕，该目录下存放着该用户所有的应用数据，除了这些数据被当做证据之外，操作系统的注册表、系统日志、应用日志以及所有包含时间戳的数据都会当做证据。

当然这个模型并不能直接应用在云这样的环境中，因为基于用户的应用数据可能在云端，也可能在客户端，或者两者皆有，这就需要取证人员
进展在线取证。

证据的保护
在传统取证中，取证人员能够对可能包含证据的设备进展实际控制，而在云中，由于云效劳的远程特性使得实际控制是非常困难的，除非调查人员能够获得*个效劳的控制权，否则，潜在的证据很可能被用户或者云提供商破坏掉。

而在如何获得云效劳的控制权以及可行性方面，很少人对这个有所研究或者说这种方法是不可行的。

而为了防止证据的破坏，Delport 等人[13]提出了将云实例隔离的方法,包括实例迁移，效劳农场，地址重定位，热备份，平安沙箱等技术，他们对这些技术的优缺点分别进展了论述，然而它们都必须解决的问题是，对一个实例隔离时，来自该实例的数据可能会和其他实例共享存储并且可能不会存在于一个固定的位置，而且运行该实例的节点上可能还存在其他实例，如何保证其他的实例的可用性以及隐私是迫于解决的问题。

证据的获取
在云端数据中心，如何通过工具来抽取其中的证据也是一个挑战。

传统的取证工具如EnCase 等工具大多数只对一般的电脑端进展证据检查，如何开发出适用于云计算环境中的工具，是一个当前研究热点。

Taylor等人[14]建议更新传统的取证工具，通过添加额外的功能来使其应用到云计算环境中。

除此之外，由于证据来源的多样性，各种证据之间格式并不一样，如何设计一种有效的格式并被用于证据的分析也是一个研究的热点。

在证据获取方式上，Lu 等人[15]提出了一种概念—数据起源〔Evidence Provenance〕，起源的意思就是对于一个实体，记录是谁创立了并且修改了他的容以及对它的一些操作信息。

显然这会给取证带来好处，当然这些起源信息必须保证是平安的，否则提供的信息将不可靠。

Marty等人[16]也提出一个类似的方法，就是CSPs和应用提供商都应该提供日志数据来用于取证调查，这些日志数据包括业务日志，操作日志。

错误日志、系统日志等。

除此之外，由于云用户失去了对自己数据的实际控制，因为他们把数据处理交给了云效劳中，然而这个可以通过由Accorsi提出的方法---远程审计来解决[17]。

他认为这需要另外一种效劳，BPaaS，〔Business Process As a Service〕，该模型基于SaaS模型，提供业务处理的模型化、实例化、定制化以及执行化。

显然这些审计信息会对取证带来一些方便。

而在云客户端，OWADE【18】宣称是第一个云取证工具，由斯坦福大学的ElieBursztein教授于2021年在黑帽(BlackHat)大会上提出。

ElieBursztein认为云效劳的接入端应当包含有大量证据信息，因此他设计的OWADE工具主要用于用户端的证据提取。

该工具目前仅支持Windows系统，能对主流的浏览器如Chrome、InternetE*plorer、Firefo*及Safari进展证据提取和分析，并能获得当前主流即时通讯软件如Skype、GoogleGtalk及MSN的本地聊天记录。

虽然该工具在用户端能提取到用户使用诸如Skype等云效劳的证据信息，但是这些信息非常有限且很容易遭到犯罪分子的恶意破坏，因此还需与CSP端提取到的证据一起组成完整的证据链。

删除的数据
用户在作案时可能会删除数据，如何恢复这些数据也是很有必要的，因为删除的数据中很可能包含重要的信息。

在传统取证中，嫌疑人通过对物理存储介质的，删除证据数据，并且通过重写的方式来覆盖数据已到达不可恢复的目的。

而在云计算中这种情况是有所改善。

对于用户的数据，由于云计算的可靠性和强健性，数据会有很多备份，当嫌疑人删除自己的数据时，其他备份的数据并不会删除，除非他获取了整个云计算的管理员权限。

然而，有的效劳提供商如Google为了用户的隐私，也会在用户删除自身数据的同时，一并将其他的备份数据删除掉，包括指向这些数据的指针也会被删掉，这样再来恢复这些数据就非常困难。

在线取证
在云环境中，频繁使用的数据很可能也存在于非持久化介质如存中。

如何获取这些数据就是现在所说的在线取证。

传统取证中，在线取证就是在一个电脑在未关机的情况下对存、进程、
网络活动、Web缓存等易失性、临时性数据的获取。

而在云计算中就是在不影响其他用户使用云效劳的情况下来对这些数据的获取。

Volatility框架是一个用于传统取证的在线取证框架，它能将一些易失性、临时性数据收集起来作为证据，如何扩展现有的框架来将其应用到云中是一个值得研究方向。

例如华中科技大学的周刚博士提出了一种以现场迁移技术为根底的云取证方法，该方法将虚拟机实例视为取证分析对象【19】。

当有取证需求时，将待取证虚拟机实例迁移至本地，在迁移过程中，对虚拟机实例的存映射、网络连接等易失性数据进展了保全，然后将该虚拟机实例在本地进展加载，最后利用一些传统的取证工具在虚拟机实例中进展取证。

该方法虽然能有效地从正常运行的虚拟机实例中获得证据数据，但当虚拟机实例被用户恶意破坏无法加载时，该方法就会失效。

数字镜像的获取
数字镜像的获取是基于调查人员在对操作对象处于实际控制的根底上来进展的，在传统取证中，调查人员比较容易控制目标实体，于是可以通过取证工具对存储设备中存储的数据按位拷贝，以便于随后的证据分析操作。

相对于云环境，假设取证人员已经取得了云效劳的控制权，然而由于云计算中虚拟化技术的应用，这让证据的获取更加困难。

首先，在用户看来，用户的数据会“统一〞存在一个位置，而实际上，存储的虚拟化让取证人员并不知道其真正的物理位置，其次就算知道了物理位置，它也可能会和其他的用户的数据参杂在一起，这时如何鉴别其中的证据，并且在不侵犯别人隐私的情况下来获得这些数据也是一个问题。

针对特定云平台的取证研究
Zafarullah等人针对开源云平台Eucalyptus环境下的取证技术进展了研究【20】。

首先，他们在云系统部部署了两台攻击源主机；然后，利用上述主机对云控制器(CLC,cloudcontroller)节点发起DoS/DDoS攻击，耗尽CLC节点的CPU、存及网络带宽等资源，致使Eucalyptus无法开启新的虚拟机实例，无法及时对终端用户的请求进展响应；最后，从Syslog、Snort等日志记录中查找本次攻击的来源。

Zafarullah总的研究思路就是先对Eucalyptus进展攻击，然后针对该类型的攻击寻找相应的取证方法。

虽然作者提出的方法对特定类型攻击的取证调查有较强的借鉴意义，但还存在两点缺乏，首先，网络攻击的方式多种多样且不断变化，对每一种攻击都提出一种取证方案的可行性不大且没有必要；其次，对于那些符合云系统平安规则所产生的数字证据，作者并没有提出有效的提取方法。

虚拟化技术在云取证中的应用
由于虚拟化技术在云计算中的应用，如何通过虚拟化技术来进展证据的获取是一个值得考虑的问题。

这里讲到的便是虚拟机省机制〔VMI〕。

虚拟机自省技术通过监视虚拟机获取被监控主机的存信息、CPU使用情况等计算机系统的运行状态信息。

它被充分应用在平安领域的研究工作中。

以下是虚拟机省实现的几个典型方式【21】。

虚拟机省技术在云取证中主要应用在以下方面：首先，通过在虚拟机安装额外的软件来进展证据的获取。

Carbone等人[22]开发了一个平安并且强健的叫做“SYRINGE〞的应用。

该应用被放置在一个隔离的虚拟机，但是却可以通过函数调用注入技术来激活客户机功能，从而监控客户机的活动。

另一种技术就是本地看管〔Localized Shepherding〕,它用来检查被激活的客户端操作系统代码的平安执行，从而防止代码漏洞攻击。

其次，有些学者将VMI与在线取证结合在一起，例如Dolan-Gavitt等人[23]将Volatility 框架与Hypervisor技术结合在一起，在此根底上提出了一个全局的动态分割〔Dynamic Slicing〕技术。

而语义鸿沟问题的解决是通过对操作系统行为的建模来生成省程序来解决。

建模过程包括：训练阶段、分析阶段、运行阶段。

训练阶段即通过对客户端系统中所有进程运行时出现的轨迹或行为〔由Volatility框架获取〕的学习，分析阶段则根据这些轨迹，结合动态分割技术剔除执行进程的一些“噪音〞，最后分析后得到的省程序便用于监控正在运行的虚拟机。

云计算在云取证中的一些应用
由于云计算的大存储容量、高可靠性、强计算能力，对于在云中搜集的大规模证据可以由云平台本身来分析处理。

Roussev and Richard等人[24]提出了一种基于MapReduce模型的原型系统，MPI MapReduce〔MMR〕该系统基于Phoeni*，Phoeni*也是一个类似于Hadoop的开源MapReduce实现框架，通过该系统可以自定义实现对数据的处理。

不仅如此，云计算强大的计算能力也可用于密码的恢复和哈希破解等应用，例如云效劳端为了保证用户数据的隐私性，在数据传输到云中前，会在客户端进展加密之后再存到云中，这些加密的数据可能也会包含证据，云平台便可运用其中。

参考文献：
[1] SIMSON L G. Digital forensics research: the ne*t 10 years[J]. Digital Inves tigation, 2021, 7:64-73.
[2] WOLTHUSEN S D. Overcast: forensic discovery in cloud environ-ments[A]. 5th International Conference on IT Security Incident Man-age- ment and IT Forensics
[C]. Stuttgart, 2021. 3-9.
[3] KEYUN R, JOE C, TAHAR K, et al. Cloud forensics: an overview[A]. 7th IFIP C onference on Digital Forensics[C]. Florida, USA, 2021. 35-46.
[4] BIGGS S, VIDALIS S. Cloud puting: the impact on digital foren-sic investiga tions[A]. International Conference for Internet Technolo-gy and Secured Transac tions[C]. London, 2021.1-6.
[5] BIRK D, WEGENER C. Technical issues of forensic investigations in cloud put ing enviro-nments[A]. IEEE 6th International Workshop on Systematic Approaches to Digital Forensic Engineering[C]. Oak-land, 2021. 1-10.
[6] 小凯.云计算环境下计算机侦查取证问题研究[D].:政法大学,2021.
[7] 武鲁,王连海,顾卫东.基于云的计算机取证系统研究[J].计算机科学,2021,39(5):32-35.
[8] KEYUN R, IBRAHIM B, JOE C, et al. Survey on cloud forensics and critical cr iteria for cloud forensic capability: a preliminary analysis[A]. Proceedings of the ADFSL Conference on Digital Forensics, Security and Law[C]. Virginia, USA, 2021. 105-121.
[9] REILLY D, WREN C, BERRY T. Cloud puting: forensic chal-lenges for law enfor cement[A]. International Conference for Internet Technology and Secured Transac tions[C]. London, 2021. 1-7.
[10]G. Grispos, T. Storer, and W. Glisson, “Calm before the storm:The challenges of cloud puting in digital forensics,〞 International Journal of Digital Crime and Forensics (IJDCF),2021.
[11]Sebastian Roschke, Feng Cheng, Christoph Meinel, "Intrusion Detection in the Cloud", Eighth IEEE International Conference on Dependable, Autonomic and Secure puting, Hasso Plattner Institute (HPI), University of Potsdam, 2021.
[12]K.Rogers, M., Goldman, J., Mislan, R., Wedge, T., & Debrota, S. (2006). puter Forensics Field Triage Process Model. Proceedings of Conference on Digital Forensics, Security and Law, (pp. 27-40).
[13] Delport, W., Olivier, M.S., Koehn, M.: Isolating a cloud instance for a digital forensic investigation. In: Proceedings of the 2021 Information Security for South Africa (ISSA 2021) Conference (2021)
[14]Taylor, M., Haggerty, J., Gresty, D., Hegarty, R.: Digital evidence in cloud puting systems. puter Law & Security Review 26(3), 304–308 (2021)
[15]Lu, R., Lin, *., Liang, *., Shen, *.S.: Secure provenance: the essential of bread and butter of data forensics in cloud puting. In: Feng, D., Basin, D.A., Liu, P. (eds.) Proceedings of the 5th ACM Symposium on Information, puter and munications Security (ASIACCS 2021), pp. 282–292. ACM (2021)
[16]Marty, R.: Cloud application logging for forensics. In: Chu, W.C., Wong, W.E., Palakal, M.J., Hung, C.C. (eds.) Proceedings of the 2021 ACM Symposium on Applied puting (SAC), pp. 178–184. ACM (2021)
[17]Accorsi, R.: Business process as a service: Chances for remote auditing. In: Proceedings of 35th IEEE Annual puter Software and Applications Conference Workshops (2021)
[18] ELIE B, IVAN F, MATTHIEU M, et al. Doing forensics in the cloud age OWADE: beyond files recovery forensic[A]. Black Hat[C]. LasVegas, 2021. 1-23.
[19]周刚.云计算环境中面向取证的现场迁移技术研究[D].:华中科技大学,2021.
[20] ZAFARULLAH Z, ANWAR F, ANWAR Z. Digital forensics for eu-calyptus [A]. Fro ntiers of Information Technology[C]. Islamabad, 2021. 110-116.
[21]秋生, 容晓峰. VMI 技术研究综述[J]. 电子设计工程, 2021, 21(1): 13-16.
[22]Carbone M, Conover M, Montague B, et al. Secure and robust monitoring of virtual machines through guest-assisted introspection[M]//Research in Attacks, Intrusions, and Defenses. Springer Berlin Heidelberg, 2021: 22-41.
[23]Dolan-Gavitt B, Leek T, Zhivich M, et al. Virtuoso: Narrowing the semantic gap in virtual machine introspection[C]//Security and Privacy (SP), 2021 IEEE Symposium on. IEEE, 2021: 297-312.
[24]Roussev V, Wang L, Richard G, et al. A cloud puting platform for large-scale forensic puting[M]//Advances in Digital Forensics V. Springer Berlin Heidelberg, 2021: 201-214.。