◆韓法旺

（南京森林警察學(xué)院 江蘇 210023）

基于云的社交網(wǎng)絡(luò)取證框架初步研究

◆韓法旺

（南京森林警察學(xué)院 江蘇 210023）

近年來，社交網(wǎng)絡(luò)已經(jīng)成為最受歡迎的信息交流工具之一，人們正在通過它建立自己的社會(huì)關(guān)系，進(jìn)行網(wǎng)上交互。本文致力于社交網(wǎng)絡(luò)的數(shù)字取證。具體而言，考慮到新興的云計(jì)算和大數(shù)據(jù)，提出了一個(gè)基于云的多層取證框架，該框架包括社交網(wǎng)絡(luò)數(shù)據(jù)的收集，存儲(chǔ)和分析。

數(shù)字取證；社交網(wǎng)絡(luò)；云計(jì)算

0 引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，通過網(wǎng)絡(luò)進(jìn)行犯罪變得更加難以察覺。然而，越來越多的犯罪證據(jù)需要從網(wǎng)上獲取，因此，數(shù)字取證技術(shù)在計(jì)算機(jī)犯罪的檢測(cè)和控制方面的重要性更為突出[1]。

數(shù)字取證一般是一個(gè)數(shù)字證據(jù)的獲取、存儲(chǔ)、分析和歸檔的過程。網(wǎng)絡(luò)取證技術(shù)是數(shù)字取證技術(shù)的重要組成部分，是利用網(wǎng)絡(luò)技術(shù)處理網(wǎng)絡(luò)犯罪，指那些通過技術(shù)手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊或侵犯等的網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)犯罪的典型特性是隱蔽性、復(fù)雜性和匿名性，它可能導(dǎo)致財(cái)產(chǎn)損失，甚至危及公共安全和國(guó)家安全。因此，網(wǎng)絡(luò)取證具有更重要的意義。典型的網(wǎng)絡(luò)取證過程如圖1。

圖1 典型的網(wǎng)絡(luò)取證過程

近年來，社交網(wǎng)絡(luò)已經(jīng)成為最受歡迎的信息交流工具之一，人們正在通過社交網(wǎng)絡(luò)增加自己的社會(huì)關(guān)系，進(jìn)行社會(huì)交互。因此，本文專注于社交網(wǎng)絡(luò)取證。也就是說，從社交網(wǎng)站收集信息，分析社交網(wǎng)絡(luò)數(shù)據(jù)，并試圖推斷出一些有用的證據(jù)，進(jìn)行犯罪控制。

此外，新興的云計(jì)算和大數(shù)據(jù)的浪潮已經(jīng)使現(xiàn)有的取證方法很難從大規(guī)模的日志和數(shù)據(jù)中獲取到有用的證據(jù)[2]。幸運(yùn)的是，云計(jì)算的特性，如開放標(biāo)準(zhǔn)，快速和安全的存儲(chǔ)和計(jì)算服務(wù)，使得我們可以利用云計(jì)算基礎(chǔ)上定制的取證模型來進(jìn)行取證工作。

為此，在本文中，我們提出了一個(gè)基于云的取證框架，社交網(wǎng)絡(luò)，社交網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲(chǔ)和分析，通過一個(gè)多層次的模塊化框架，使用云計(jì)算技術(shù)，包括虛擬化、分布式處理和存儲(chǔ)協(xié)作等模塊。

本文的主要內(nèi)容如下。第2節(jié)介紹相關(guān)工作，在第3節(jié)中，我們討論了基于云的取證框架的細(xì)節(jié)。

1 相關(guān)工作

第一類相關(guān)工作是以網(wǎng)絡(luò)為基礎(chǔ)的網(wǎng)絡(luò)取證，其目的是用獲得的網(wǎng)頁(yè)瀏覽數(shù)據(jù)進(jìn)行分析。通常情況下，有三種方法。第一種方法是服務(wù)器端網(wǎng)絡(luò)取證。吳永春等設(shè)計(jì)了一種動(dòng)態(tài)取證方法，用于網(wǎng)站的動(dòng)態(tài)取證。然而，取證變得更加困難并且耗時(shí)耗力，因?yàn)樵朴?jì)算集群使得數(shù)據(jù)增長(zhǎng)太快。二是客戶端取證。主要的問題是分析所有可能的相關(guān)軟件的日志，比較困難[3]。最后一種方法是基于數(shù)據(jù)流的取證。例如，孫丹等人提出了一個(gè)分布式的網(wǎng)絡(luò)取證。然而，這種取證通常很難實(shí)現(xiàn)。本文中，我們采用了客戶端的取證方法，通過主動(dòng)爬行數(shù)據(jù)，使用基于云的取證框架。

第二類相關(guān)工作是社交網(wǎng)絡(luò)取證。李正風(fēng)等研究證據(jù)提取工具來測(cè)量在不同的SNS網(wǎng)站提取證據(jù)的能力，并確定當(dāng)前的問題和局限性。mulazzani等人探討了社交網(wǎng)絡(luò)取證分析的重要數(shù)據(jù)來源和分析方法，并利用“臉譜”案例研究。王亞林等為用戶提供計(jì)算機(jī)上安裝的工具，以提供通過聊天和社交網(wǎng)站檢索其他在線用戶信息的能力。Markus收集社交網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)一個(gè)自定義的附加的社交網(wǎng)絡(luò)，結(jié)合網(wǎng)絡(luò)爬行工具進(jìn)行研究。在本文中，靈感來自于Markus，我們整合了一個(gè)基于云的基礎(chǔ)設(shè)施，社交網(wǎng)絡(luò)取證的爬行工具。

2 基于云的社交網(wǎng)絡(luò)取證框架

如前所述,我們致力于社交網(wǎng)絡(luò)領(lǐng)域的網(wǎng)絡(luò)取證問題，并結(jié)合云計(jì)算技術(shù)。在這一節(jié)中,我們提出了我們的基于云的取證框架。

圖2 基于云的取證框架

圖2 給出了我們所提出的取證框架的模型。一般來說，底層的基礎(chǔ)設(shè)施是建立在云計(jì)算Hadoop套件等，虛擬化技術(shù)是利用多用戶操作和數(shù)據(jù)存儲(chǔ)。然后，構(gòu)建了一個(gè)爬蟲收集社交網(wǎng)絡(luò)的數(shù)據(jù)，這些最終反饋到數(shù)據(jù)分析組件，輸出潛在的有用的證據(jù)。

如圖2所示,我們?cè)谌∽C框架中有五層：基礎(chǔ)層、虛擬層、數(shù)據(jù)池層、爬蟲層和分析層?，F(xiàn)在我們?cè)敿?xì)描述各層的組成和功能。

（1）基礎(chǔ)設(shè)施層：包括基礎(chǔ)設(shè)施，如數(shù)據(jù)節(jié)點(diǎn)、存儲(chǔ)和網(wǎng)絡(luò)設(shè)施。具體來說，我們使用Hadoop作為我們的基礎(chǔ)設(shè)施，它為上層提供了存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)服務(wù)。

（2）虛擬層：包括多租戶架構(gòu)，它允許數(shù)據(jù)分離和共享；并行和分布式處理，提供了多線程服務(wù)、，分布式緩存、大尺度的能力、日志管理、規(guī)范的記錄、靜態(tài)或動(dòng)態(tài)取證方法的實(shí)現(xiàn)，為進(jìn)一步分析日志提供支持。

（3）數(shù)據(jù)池層：存儲(chǔ)數(shù)據(jù)，包括用戶日志文件、系統(tǒng)日志文件、網(wǎng)絡(luò)日志文件、攻擊日志文件和更新日志文件。請(qǐng)注意，這一層的數(shù)據(jù)是用于管理，而不是抓取網(wǎng)頁(yè)。

（4）爬蟲層：是框架中最重要的一層。與上述三個(gè)層次不同的是，這一層主要集中在基礎(chǔ)設(shè)施和管理層，這一層是負(fù)責(zé)社交網(wǎng)絡(luò)數(shù)據(jù)的收集。爬蟲層包括三個(gè)主要組成部分：用戶身份驗(yàn)證和訪問控制，通常涉及特定的社交網(wǎng)絡(luò)網(wǎng)站的規(guī)則，任務(wù)和資源調(diào)度和管理，控制爬蟲結(jié)構(gòu)的工作流程，下載，解析和存儲(chǔ)抓取數(shù)據(jù)。

（5）分析層：面向應(yīng)用，包括日志查詢、管理和挖掘，分析日志，并提供日志的分析報(bào)告；社交網(wǎng)絡(luò)分析，分析社交網(wǎng)絡(luò)數(shù)據(jù)，其他取證應(yīng)用程序上的日志和社會(huì)網(wǎng)絡(luò)數(shù)據(jù)。具體來說，我們引入Hadoop Mahout進(jìn)行數(shù)據(jù)挖掘和分析挖掘潛在的證據(jù)。

此外，圖3給出了分布式爬蟲的結(jié)構(gòu)。首先，多履帶由控制器節(jié)點(diǎn)管理，它負(fù)責(zé)啟動(dòng)、停止和調(diào)度爬蟲。然后，每個(gè)爬蟲收集的數(shù)據(jù)轉(zhuǎn)移到HDFS存儲(chǔ)。HDFS控制器節(jié)點(diǎn)分配數(shù)據(jù)塊在不同的數(shù)據(jù)節(jié)點(diǎn)和任務(wù)節(jié)點(diǎn)。這里，我們簡(jiǎn)化了部署。在業(yè)務(wù)應(yīng)用程序中定義了作業(yè)腳本，將數(shù)據(jù)結(jié)果存儲(chǔ)到業(yè)務(wù)數(shù)據(jù)庫(kù)中，以供進(jìn)一步使用。

圖3 分布式爬蟲的結(jié)構(gòu)

3 結(jié)論

在本文中，我們提供了一個(gè)初步的努力，對(duì)社交網(wǎng)絡(luò)取證研究。具體而言，我們提出了一個(gè)基于云計(jì)算基礎(chǔ)設(shè)施和網(wǎng)絡(luò)爬行組件的取證框架。在未來的工作中，我們希望調(diào)查更多的應(yīng)用程序的取證分析，使用社交網(wǎng)絡(luò)數(shù)據(jù)。

[1]張俊，麥永浩.云計(jì)算環(huán)境下仿真計(jì)算機(jī)取證研究[J]．信息網(wǎng)絡(luò)安全，2011.

[2]丁秋峰，孫國(guó)梓.云計(jì)算環(huán)境下取證技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2011.

[3]劉春勇，黃志球，王進(jìn).基于 SLA 的動(dòng)態(tài)云體系結(jié)構(gòu)[J].計(jì)算機(jī)工程，2011.

本文是在南京森林警察學(xué)院2016年度的“中央高校的基本科研項(xiàng)目基金”資助下進(jìn)行的。項(xiàng)目編號(hào)LGZD201601，江蘇高校品牌專業(yè)建設(shè)工程資助項(xiàng)目（項(xiàng)目編號(hào)：PPZY2015A058）。