高元照，李學(xué)娟，李炳龍，吳熙曦

?

云計(jì)算取證模型

高元照1,2，李學(xué)娟3，李炳龍1,2，吳熙曦4

（1. 信息工程大學(xué)，河南鄭州 450001；2. 數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，河南鄭州 450001；3. 河南理工大學(xué)審計(jì)處，河南焦作 454010；4. 白城兵器試驗(yàn)中心，吉林白城 137000）

針對(duì)云取證面臨的主要挑戰(zhàn)，分析云計(jì)算特性，提出了一種云取證模型。提出了持續(xù)性取證準(zhǔn)備服務(wù)的部署、基于“迭代”的多輪次證據(jù)識(shí)別策略和分布式文件系統(tǒng)的多層級(jí)數(shù)據(jù)定位方法、基于“數(shù)據(jù)隔離”和“按需收集”策略的證據(jù)收集方法、基于云計(jì)算資源的綜合性證據(jù)分析平臺(tái)的建立。最后，結(jié)合云環(huán)境下的取證場(chǎng)景，分析了該模型的有效性。

云計(jì)算；云取證；取證模型；取證策略；取證方法

1 引言

云計(jì)算能夠提供按需、彈性、便捷的網(wǎng)絡(luò)訪問(wèn)和計(jì)算資源，目前已成為IT領(lǐng)域的主流技術(shù)[1,2]。但云計(jì)算的快速發(fā)展也使其成為數(shù)字犯罪新的攻擊目標(biāo)。云安全提供商Alert Logic 2015年的云安全報(bào)告稱(chēng)，受到APP攻擊、可疑行為攻擊、暴力破解攻擊的云服務(wù)提供商（CSP，cloud service provider）分別占70%、68%和56%[3]。云計(jì)算安全已成為用戶選擇云服務(wù)的主要關(guān)注之一[1,4]。

云計(jì)算取證是數(shù)字取證科學(xué)在云環(huán)境中的應(yīng)用，在威懾、打擊云犯罪活動(dòng)和維護(hù)用戶權(quán)益上發(fā)揮著重要作用。2011年6月，我國(guó)成立了中國(guó)云計(jì)算安全政策與法律工作組，并將執(zhí)法取證作為云安全領(lǐng)域的主要研究方向[5]。2013年，云安全聯(lián)盟（CSA，Cloud Security Alliance）發(fā)布的《云計(jì)算關(guān)鍵領(lǐng)域安全指南V3.0》[6]也將云取證作為一項(xiàng)關(guān)系云計(jì)算發(fā)展的重大問(wèn)題提出。但由于云計(jì)算基礎(chǔ)設(shè)施規(guī)模龐大，服務(wù)種類(lèi)多樣，并具有分布性、虛擬性和共享性等特點(diǎn)。證據(jù)的識(shí)別、收集與分析面臨巨大挑戰(zhàn)。

云取證模型能夠引導(dǎo)取證人員從大量用戶和云服務(wù)數(shù)據(jù)中識(shí)別涉案數(shù)據(jù)的范圍，定位以虛擬化或分布式方式存儲(chǔ)數(shù)據(jù)的物理位置，采取合理可行的證據(jù)收集策略與方法，提供大數(shù)據(jù)和云平臺(tái)獨(dú)有數(shù)據(jù)類(lèi)型的有效分析方法，對(duì)于云取證工作具有重要的指導(dǎo)意義。Ruan等[7]在全球范圍發(fā)起了一項(xiàng)關(guān)于云取證關(guān)鍵問(wèn)題的調(diào)查，回復(fù)的257位數(shù)字取證專(zhuān)家中，87%認(rèn)為設(shè)計(jì)云取證模型是當(dāng)前云取證研究的主要方向之一。

然而，由于云計(jì)算的固有特性，傳統(tǒng)的數(shù)字取證模型多針對(duì)單個(gè)或少量的計(jì)算機(jī)或服務(wù)器，難以適用于云環(huán)境。現(xiàn)有的云取證模型多針對(duì)云計(jì)算的特性和云取證面臨的挑戰(zhàn)進(jìn)行理論分析，并就其中的部分問(wèn)題指出某種應(yīng)對(duì)方法的必要性與可行性，但沒(méi)有真正結(jié)合云取證環(huán)境的復(fù)雜性和取證場(chǎng)景與對(duì)象的多樣性，提出綜合性、整體性的取證策略與實(shí)施方法，不足以指導(dǎo)云環(huán)境下的取證工作。

本文針對(duì)云取證面臨的主要挑戰(zhàn)和云取證模型研究的不足，分析云計(jì)算的特性以及由此帶來(lái)的云服務(wù)部署模式、攻擊方式、證據(jù)類(lèi)型及存儲(chǔ)方式等方面的多樣性，建立了一種云取證模型，提出了不同取證階段的任務(wù)、目標(biāo)，以及實(shí)現(xiàn)這些目標(biāo)所制定的取證策略與方法，以指導(dǎo)、規(guī)范、監(jiān)督取證人員完成取證工作。最后，結(jié)合云環(huán)境下的案例場(chǎng)景，分析了該模型的有效性。

2 云取證面臨的主要挑戰(zhàn)

云計(jì)算能提供對(duì)可配置的共享資源池（如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)等）快捷、按需的網(wǎng)絡(luò)訪問(wèn)，能夠以極小的管理負(fù)擔(dān)以及與CSP的交互實(shí)現(xiàn)資源的快速配置和釋放[8]。云計(jì)算具有大規(guī)模、虛擬性、分布性、共享性和高可靠性等固有特性，給云取證帶來(lái)了巨大挑戰(zhàn)，是云取證研究需要解決的最主要問(wèn)題。本節(jié)對(duì)云取證面臨的主要挑戰(zhàn)進(jìn)行詳細(xì)介紹。

1) 取證數(shù)據(jù)量大

云計(jì)算平臺(tái)規(guī)模龐大，并且易于擴(kuò)展。一方面，大量的結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)并存，并且很多數(shù)據(jù)格式是云計(jì)算專(zhuān)有的[9]；另一方面，數(shù)字設(shè)備的數(shù)量和容量增長(zhǎng)迅速。識(shí)別與安全事件相關(guān)的數(shù)據(jù)并定位其物理存儲(chǔ)位置十分困難[10]。證據(jù)分析面臨巨大負(fù)擔(dān)[11]，現(xiàn)有的取證工具在云平臺(tái)獨(dú)有數(shù)據(jù)格式的分析上存在很大局限性。

2) 數(shù)據(jù)存儲(chǔ)的分布性

云環(huán)境下多采用分布式文件系統(tǒng)（DFS，distributed file system）作為主要的文件系統(tǒng)[12]。DFS分布式的特性導(dǎo)致文件被分割成數(shù)據(jù)塊，存儲(chǔ)在不同的數(shù)據(jù)中心[13]，甚至跨越多個(gè)司法管轄范圍[14]。此外，一些DFS（如HDFS）將分割后的塊文件以數(shù)據(jù)塊編號(hào)命名，僅從文件名無(wú)法判斷文件的類(lèi)型和歸屬關(guān)系，為可疑人員的追溯與判定帶來(lái)了困擾。

3) 不同用戶數(shù)據(jù)存儲(chǔ)的混雜性

虛擬性是云計(jì)算的顯著特點(diǎn)之一。在云環(huán)境下，大量用戶共享云的基礎(chǔ)設(shè)施或應(yīng)用，數(shù)據(jù)混雜存儲(chǔ)。由于數(shù)據(jù)存儲(chǔ)的非連續(xù)性和分布性，用戶數(shù)據(jù)的分離困難，收集證據(jù)時(shí)可能會(huì)摻雜無(wú)關(guān)用戶的數(shù)據(jù)，增大數(shù)據(jù)提取量和數(shù)據(jù)分析負(fù)擔(dān)。此外，取證人員必須具有充足證據(jù)證明數(shù)據(jù)的所屬關(guān)系[15]，同時(shí)保護(hù)無(wú)關(guān)用戶數(shù)據(jù)的機(jī)密性。

4) 證據(jù)易失性

云環(huán)境下數(shù)字證據(jù)的易失性主要體現(xiàn)在刪除數(shù)據(jù)難以恢復(fù)。對(duì)于虛擬機(jī)（VM，virtual machine）實(shí)例，當(dāng)用戶釋放VM后，VM占用的空間將被CSP收回，此時(shí)在眾多的云節(jié)點(diǎn)中識(shí)別、定位刪除數(shù)據(jù)是很困難的[4,16]。對(duì)于其他被刪除的用戶數(shù)據(jù)，將隨著時(shí)間的推移被新的數(shù)據(jù)覆蓋，入侵者可利用這一特性銷(xiāo)毀證據(jù)。

5) 證據(jù)監(jiān)管鏈維護(hù)困難

證據(jù)監(jiān)管鏈（chain of custody）在取證過(guò)程中十分重要，它需要清晰地表明證據(jù)是如何被收集、分析和保存的，以確保證據(jù)在法庭中可以被接受[17]。由于取證人員對(duì)云平臺(tái)中數(shù)據(jù)的物理控制能力下降，取證過(guò)程對(duì)CSP有依賴(lài)性，但無(wú)法證實(shí) CSP是否提供真實(shí)可信的數(shù)據(jù)，并且云取證過(guò)程可能涉及多個(gè)司法管轄范圍的取證人員，導(dǎo)致證據(jù)監(jiān)管鏈的維護(hù)困難[18,19]。

6) 時(shí)間線重建復(fù)雜

時(shí)間線的重建是重構(gòu)完整犯罪過(guò)程的關(guān)鍵，但從不同系統(tǒng)中獲取的時(shí)間戳不一定完全同步。在云環(huán)境下，一方面，同一用戶（或云服務(wù)）的數(shù)據(jù)可能存儲(chǔ)在不同的地理區(qū)域，這些區(qū)域處于不同的時(shí)區(qū)[4,20]；另一方面，VM時(shí)間戳容易受到VM運(yùn)行狀態(tài)變化等因素的影響，產(chǎn)生時(shí)間漂移，增加正確分析時(shí)間戳的復(fù)雜性。此外，不同文件系統(tǒng)時(shí)間戳的更新規(guī)則也不完全相同[21]。

3 云計(jì)算取證模型

3.1 術(shù)語(yǔ)定義

CSP：云服務(wù)提供商，具有對(duì)云平臺(tái)中所有數(shù)據(jù)的控制權(quán)。

損失方代表LPR：損失方可能是CSP本身或用戶。損失方的加入能夠?qū)θ∽C過(guò)程進(jìn)行監(jiān)督。由于涉及用戶可能較多，選擇出若干人員作為監(jiān)督代表，即LPR。

取證數(shù)據(jù)中心FDC：集中存儲(chǔ)收集及分析得出的數(shù)據(jù)，確保數(shù)據(jù)的完整性。

證據(jù)分析平臺(tái)EAP：利用云計(jì)算的資源搭建的專(zhuān)門(mén)用于證據(jù)分析的綜合性平臺(tái)，要求具有良好的可擴(kuò)展性，能夠?qū)崿F(xiàn)多種數(shù)據(jù)分析框架和取證工具的部署、開(kāi)發(fā)。

3.2 取證模型

本文提出的云取證模型如圖1所示。該模型分為5個(gè)階段：取證準(zhǔn)備、證據(jù)識(shí)別、證據(jù)收集、證據(jù)分析和報(bào)告。其中，取證準(zhǔn)備服務(wù)由CSP部署，而后4個(gè)階段由取證人員完成。本節(jié)對(duì)各階段采取的取證策略與方法進(jìn)行詳細(xì)說(shuō)明。此外，本模型假設(shè)在取證工作開(kāi)始時(shí)，發(fā)生安全事件的云服務(wù)是已知的，設(shè)為s。

3.2.1 取證準(zhǔn)備

針對(duì)云平臺(tái)數(shù)據(jù)的易失性，同時(shí)預(yù)防潛在證據(jù)在取證開(kāi)始前受到攻擊人員或惡意內(nèi)部人員的破壞[23]，在普通云服務(wù)正常工作的同時(shí)，本模型提出部署實(shí)時(shí)的取證準(zhǔn)備服務(wù)，將對(duì)取證具有關(guān)鍵作用、易受破壞的數(shù)據(jù)持續(xù)地存儲(chǔ)到取證數(shù)據(jù)中心，同時(shí)確保不產(chǎn)生過(guò)多的傳輸和存儲(chǔ)開(kāi)銷(xiāo)。本模型選擇如下2種數(shù)據(jù)：云存儲(chǔ)元數(shù)據(jù)和VM管理數(shù)據(jù)。

云存儲(chǔ)維護(hù)著大量的用戶數(shù)據(jù)，是重要的證據(jù)來(lái)源。元數(shù)據(jù)記錄了數(shù)據(jù)對(duì)象在云存儲(chǔ)中的產(chǎn)生和存儲(chǔ)過(guò)程，以及訪問(wèn)權(quán)限和時(shí)間戳等信息，具有還原事件時(shí)間線、追溯犯罪嫌疑人的作用[24]。針對(duì)被刪除文件，保留其在取證數(shù)據(jù)中心的元數(shù)據(jù)，能夠作為該文件曾經(jīng)存在的證據(jù)和識(shí)別定位的依據(jù)。若用戶數(shù)據(jù)與CSP沒(méi)有直接利益關(guān)系，潛在證據(jù)可能受到惡意CSP的刪除、篡改或偽造，對(duì)元數(shù)據(jù)的實(shí)時(shí)預(yù)留能有效支持證據(jù)存在性和真實(shí)性的判定。此外，一些DFS采用集中管理的方式存儲(chǔ)元數(shù)據(jù)（如HDFS、GFS、Lustre等），相比于實(shí)際數(shù)據(jù)，元數(shù)據(jù)更易于獲取，并且存儲(chǔ)開(kāi)銷(xiāo)較小。

VM在云環(huán)境下廣泛應(yīng)用，既是犯罪人員主要的攻擊目標(biāo)，也是其利用云資源實(shí)施犯罪行為的主要手段[23,25,26]。VM管理數(shù)據(jù)包括VM網(wǎng)絡(luò)日志、安全日志、運(yùn)行日志和配置信息等。這些數(shù)據(jù)可用于重構(gòu)VM的行為、定位VM位于的物理節(jié)點(diǎn)，其對(duì)于VM的取證作用與云存儲(chǔ)元數(shù)據(jù)對(duì)于云存儲(chǔ)的作用是類(lèi)似的。VM管理數(shù)據(jù)部分存儲(chǔ)在VM內(nèi)部，可通過(guò)虛擬機(jī)管理器（VMM，virtual machine monitor）進(jìn)行獲取。

圖1 云取證模型

3.2.2 證據(jù)識(shí)別

云取證環(huán)境的大規(guī)模、多層次性和攻擊方式的多樣性增大了證據(jù)識(shí)別的復(fù)雜性，同時(shí)，頻繁的數(shù)據(jù)交互要求證據(jù)識(shí)別的時(shí)效性，以防止證據(jù)發(fā)生變化。因此，本模型首先提出4條識(shí)別策略，明確不同取證場(chǎng)景下的證據(jù)識(shí)別范圍，提高識(shí)別的完備性。針對(duì)數(shù)據(jù)存儲(chǔ)的混雜性，對(duì)于已識(shí)別的數(shù)據(jù)，提出精確定位其物理位置的方法，確保將數(shù)據(jù)歸屬到特定用戶。

1) 層次化的證據(jù)范圍識(shí)別

依據(jù)s所屬的服務(wù)模式及其建立方式確定基本的證據(jù)范圍。例如，云平臺(tái)中的Web服務(wù)可能是由CSP提供的SaaS服務(wù)，也可能是公司基于PaaS平臺(tái)或IaaS基礎(chǔ)設(shè)施建立的服務(wù)。不同模式的服務(wù)間存在內(nèi)部關(guān)聯(lián)，不能依據(jù)服務(wù)模式簡(jiǎn)單限定證據(jù)類(lèi)型。如果Web服務(wù)基于IaaS搭建，則證據(jù)數(shù)據(jù)表現(xiàn)為整個(gè)VM實(shí)例，而不只是Web服務(wù)相關(guān)的數(shù)據(jù)。本模型將云平臺(tái)數(shù)據(jù)從上至下分為6個(gè)層次：SaaS服務(wù)的用戶數(shù)據(jù)、SaaS或PaaS服務(wù)自身的數(shù)據(jù)、VM映像、VMM數(shù)據(jù)、物理機(jī)數(shù)據(jù)、基礎(chǔ)設(shè)施信息。依據(jù)犯罪場(chǎng)景的差異，取證人員可對(duì)不同層次的數(shù)據(jù)以及同層次中的不同數(shù)據(jù)對(duì)象進(jìn)行選擇。

2) 分析攻擊方式多樣性，擴(kuò)展識(shí)別對(duì)象

綜合考慮多種可能的攻擊來(lái)源以及云環(huán)境下獨(dú)特的攻擊方法，擴(kuò)展數(shù)據(jù)識(shí)別對(duì)象。對(duì)于同樣的犯罪目的，取證人員一方面需要考慮攻擊來(lái)自外部人員、惡意內(nèi)部員工或由用戶租用VM實(shí)施的可能性；另一方面需要考慮攻擊者采用常規(guī)手段以及利用云平臺(tái)的自身特性實(shí)施犯罪的可能性。例如，一個(gè)VM實(shí)例能夠通過(guò)邊信道攻擊從與其處于同一物理機(jī)的其他VM中竊取信息[26]，該VM實(shí)例本身也可能受到了入侵。綜合2個(gè)方面，取證人員可將取證對(duì)象擴(kuò)展到云服務(wù)的管理員、同一物理節(jié)點(diǎn)上的其他VM、物理機(jī)等。

3) 網(wǎng)絡(luò)通信記錄識(shí)別

識(shí)別與s所在物理節(jié)點(diǎn)或VM相關(guān)的網(wǎng)絡(luò)通信記錄。網(wǎng)絡(luò)通信記錄是攻擊者溯源和事件還原的重要依據(jù)，包括云平臺(tái)內(nèi)部和外部2個(gè)方面，主要分為以下5類(lèi)：①服務(wù)的訪問(wèn)記錄；②不同云服務(wù)之間出于管理、協(xié)作等目的的通信記錄；③單一云服務(wù)內(nèi)部不同節(jié)點(diǎn)間的交互記錄；④服務(wù)所在節(jié)點(diǎn)的登錄記錄，如SSH登錄；⑤郵件。根據(jù)服務(wù)的工作特點(diǎn)和異常狀態(tài)的差異，取證人員可以選擇不同的數(shù)據(jù)。

4) 基于“迭代”思想的多輪次證據(jù)識(shí)別

由于云服務(wù)的大規(guī)模和攻擊手段的多樣性，一次性識(shí)別所有涉案數(shù)據(jù)是不現(xiàn)實(shí)的。本模型采用迭代策略，將本輪次的數(shù)據(jù)分析結(jié)果用作下一輪次證據(jù)識(shí)別的線索，并權(quán)衡證據(jù)的識(shí)別范圍與數(shù)量。首輪當(dāng)中，主要識(shí)別s自身產(chǎn)生的數(shù)據(jù)，可依據(jù)s的異常狀態(tài)，從磁盤(pán)、內(nèi)存和網(wǎng)絡(luò)3個(gè)方面限定主要的證據(jù)類(lèi)型和識(shí)別范疇。分析上述數(shù)據(jù)，判斷可能的攻擊類(lèi)型，發(fā)現(xiàn)可疑的用戶訪問(wèn)，在第二輪次中，識(shí)別s中可疑用戶產(chǎn)生的數(shù)據(jù)，并以s為中心，從s所在節(jié)點(diǎn)、云內(nèi)部和外部節(jié)點(diǎn)3個(gè)方向識(shí)別可疑人員與s有關(guān)的數(shù)據(jù)交互痕跡，如與s的通信記錄、緩存文件等。分析上述數(shù)據(jù)，在第三輪次中，進(jìn)一步縮小證據(jù)的識(shí)別范圍，同時(shí)擴(kuò)大范圍內(nèi)數(shù)據(jù)的收集量，如映像整個(gè)磁盤(pán)。通過(guò)多個(gè)輪次的證據(jù)識(shí)別，取證人員能夠不斷提升證據(jù)識(shí)別的精確性和完備性。此外，除首輪外，其他輪次需要補(bǔ)充上一輪次遺漏的數(shù)據(jù)。

本模型將數(shù)據(jù)的存儲(chǔ)位置劃分為3個(gè)層次：數(shù)據(jù)中心、物理節(jié)點(diǎn)和文件系統(tǒng)數(shù)據(jù)塊。一個(gè)CSP通常擁有眾多數(shù)據(jù)中心。受到攻擊的數(shù)據(jù)中心是已知的，但識(shí)別的相關(guān)數(shù)據(jù)可能存儲(chǔ)在其他數(shù)據(jù)中心。此時(shí)，可通過(guò)分析網(wǎng)絡(luò)通信記錄在下一輪迭代中對(duì)相關(guān)數(shù)據(jù)中心進(jìn)行定位。

物理節(jié)點(diǎn)和底層數(shù)據(jù)塊的識(shí)別主要面臨云計(jì)算的虛擬性和分布性。VM作為具有操作系統(tǒng)的運(yùn)行實(shí)體，并不建立在DFS上，但DFS可以基于多個(gè)VM搭建。對(duì)于虛擬磁盤(pán)、內(nèi)存等VM數(shù)據(jù)的獲取，通常只涉及對(duì)其所在物理節(jié)點(diǎn)的定位。基于取證準(zhǔn)備階段存儲(chǔ)的VM管理數(shù)據(jù)能夠?qū)崿F(xiàn)；對(duì)于DFS中的文件，本模型提出一種基于三級(jí)映射的文件定位方法，以獲取文件本地?cái)?shù)據(jù)塊的地址。本文將DFS從上至下劃分為4個(gè)層次：DFS命名空間、DFS存儲(chǔ)空間、本地文件系統(tǒng)命名空間及其存儲(chǔ)空間。本地文件系統(tǒng)指組成DFS的各存儲(chǔ)節(jié)點(diǎn)自身的文件系統(tǒng)。由于DFS存儲(chǔ)分配單元在本地存儲(chǔ)節(jié)點(diǎn)中通常以文件的形式存在，DFS文件到存儲(chǔ)節(jié)點(diǎn)數(shù)據(jù)塊的映射分可劃為3個(gè)層級(jí)：DFS命名空間與存儲(chǔ)單元間的映射、DFS存儲(chǔ)單元與本地存儲(chǔ)節(jié)點(diǎn)間的映射，以及本地文件系統(tǒng)命名空間與存儲(chǔ)單元間的映射。存儲(chǔ)節(jié)點(diǎn)可能是物理機(jī)或VM，若為前者，則定位過(guò)程結(jié)束；若為后者，取證人員還需定位VM所在的物理節(jié)點(diǎn)。

3.2.3 證據(jù)收集

由于云服務(wù)器時(shí)刻保持著大量的用戶訪問(wèn)，并且內(nèi)存等實(shí)時(shí)數(shù)據(jù)只能在運(yùn)行狀態(tài)下獲取，證據(jù)收集必須在云平臺(tái)正常運(yùn)行的狀態(tài)下進(jìn)行。為防止已識(shí)別的數(shù)據(jù)繼續(xù)變化或被刪除、篡改，首先采用“數(shù)據(jù)隔離”策略，立即對(duì)VM實(shí)例或其他直接存儲(chǔ)在物理節(jié)點(diǎn)上的數(shù)據(jù)進(jìn)行隔離，確保原始數(shù)據(jù)在授權(quán)的證據(jù)收集前不再被任何人員訪問(wèn)。隔離工作可利用云計(jì)算自身的數(shù)據(jù)多備份、計(jì)算節(jié)點(diǎn)遷移等機(jī)制，將云服務(wù)新產(chǎn)生的數(shù)據(jù)或無(wú)關(guān)VM實(shí)例重新存儲(chǔ)到其他節(jié)點(diǎn)。不對(duì)已識(shí)別數(shù)據(jù)進(jìn)行遷移，能夠防止遷移過(guò)程中數(shù)據(jù)的遺失或損壞。

針對(duì)云平臺(tái)的數(shù)據(jù)量大，并且不同用戶的數(shù)據(jù)混雜存儲(chǔ)的客觀情況，本模型提出“按需收集”策略，依據(jù)識(shí)別的數(shù)據(jù)物理位置，采用細(xì)粒度的數(shù)據(jù)收集方法，防止提取過(guò)多無(wú)關(guān)數(shù)據(jù)，在提升取證效率的同時(shí)，維護(hù)無(wú)關(guān)用戶的數(shù)據(jù)隱私。此外，云平臺(tái)在取證過(guò)程中新產(chǎn)生的數(shù)據(jù)可能具有一定的取證價(jià)值[24]。例如，引起安全事件的用戶在取證過(guò)程中可能仍存在違法行為。因此，取證人員要“按需”收集遷移到其他節(jié)點(diǎn)中的數(shù)據(jù)。

本模型依據(jù)云計(jì)算的虛擬性將證據(jù)收集對(duì)象劃分為兩類(lèi)：VM和物理機(jī)。它們主要的動(dòng)態(tài)數(shù)據(jù)是內(nèi)存，靜態(tài)數(shù)據(jù)是文件。文件系統(tǒng)包括單磁盤(pán)文件系統(tǒng)（如NTFS）和DFS（如HDFS）。

物理機(jī)的內(nèi)存映像可通過(guò)傳統(tǒng)的工具進(jìn)行獲取，因?yàn)樵朴?jì)算并沒(méi)有創(chuàng)造新的操作系統(tǒng)，仍然采用Linux、Windows等操作系統(tǒng)。但若物理機(jī)中運(yùn)行有VM，只獲取相關(guān)VM的內(nèi)存數(shù)據(jù)更符合“按需”策略。VM由VMM進(jìn)行管理，其內(nèi)存映像可通過(guò)VMM獲取。取證人員需要先通過(guò)VM的掛起機(jī)制凍結(jié)VM系統(tǒng)，然后進(jìn)行數(shù)據(jù)收集，以阻止內(nèi)存數(shù)據(jù)變化。

對(duì)于文件的收集，本模型采取繞過(guò)文件系統(tǒng)命名空間，直接提取磁盤(pán)底層數(shù)據(jù)塊的方式，防止對(duì)文件的時(shí)間戳等邏輯特性造成影響。單磁盤(pán)文件系統(tǒng)命名空間與存儲(chǔ)空間的映射相對(duì)簡(jiǎn)單；DFS文件可以通過(guò)三級(jí)映射方法定位它的本地?cái)?shù)據(jù)塊地址。對(duì)于VM中的文件（包括整個(gè)的虛擬磁盤(pán)），取證人員可通過(guò)VMM對(duì)數(shù)據(jù)塊進(jìn)行收集、重組。對(duì)于物理機(jī)上的文件（包括整個(gè)VM映像），本模型提出通過(guò)一種數(shù)據(jù)塊的只讀API進(jìn)行收集。API的設(shè)計(jì)需要能直接從不同節(jié)點(diǎn)的底層數(shù)據(jù)塊中進(jìn)行文件的提取和重組。本模型不通過(guò)取證工具進(jìn)行文件收集，一是因?yàn)樗鼈冊(cè)贒FS數(shù)據(jù)收集中的局限性，二是由于目前沒(méi)有權(quán)威機(jī)構(gòu)對(duì)“使用取證工具獲取文件是否對(duì)文件的邏輯特性造成影響”進(jìn)行證明，而直接獲取整個(gè)磁盤(pán)映像違背“按需收集”策略。

1) CSP、取證人員和LPR都不能刪除或修改已存儲(chǔ)的數(shù)據(jù)（除非超過(guò)最大存儲(chǔ)時(shí)限）。

2) 普通用戶不具有對(duì)取證數(shù)據(jù)中心的任何訪問(wèn)權(quán)限。

3) 分析結(jié)果條目在存儲(chǔ)時(shí)必須能夠表明自身與已存在的數(shù)據(jù)條目之間的關(guān)聯(lián)。

3.2.4 證據(jù)分析

云平臺(tái)的數(shù)據(jù)量大，格式多樣，并且一些數(shù)據(jù)格式是云平臺(tái)獨(dú)有的。通過(guò)少量常規(guī)的取證工具或人工分析不能確保數(shù)據(jù)的有效分析。本模型利用云計(jì)算的存儲(chǔ)和計(jì)算資源，建立證據(jù)分析平臺(tái)，以滿足數(shù)據(jù)分析的存儲(chǔ)和效率需求。面向不同的分析對(duì)象，分析平臺(tái)主要包含兩大數(shù)據(jù)處理模塊：Hadoop分布式并行處理框架和綜合性的數(shù)據(jù)分析工具庫(kù)，如圖2所示。證據(jù)分析平臺(tái)的數(shù)據(jù)從取證數(shù)據(jù)中心獲得，二者之間通過(guò)專(zhuān)門(mén)的安全通道傳輸數(shù)據(jù)。

圖2 證據(jù)分析平臺(tái)框架

面對(duì)巨大的數(shù)據(jù)量，很多研究機(jī)構(gòu)已經(jīng)從“分析所有數(shù)據(jù)以確保不遺漏任何內(nèi)容”的取證思路轉(zhuǎn)變?yōu)楦嗟匾蕾?lài)于智能方法[27]。本模型采用Hadoop和智能數(shù)據(jù)分析算法結(jié)合的方式，分析云服務(wù)日志等非結(jié)構(gòu)化或半結(jié)構(gòu)化的數(shù)據(jù)。Hadoop的主要組件MapReduce是一種數(shù)據(jù)并行處理的編程模型，具體的數(shù)據(jù)分析程序由開(kāi)發(fā)人員實(shí)現(xiàn)。生成的程序存儲(chǔ)在圖2中的算法庫(kù)中，由取證人員調(diào)用?；谠撃Ｊ?，取證人員能夠深度挖掘云服務(wù)內(nèi)部各組件的行為特點(diǎn)、多種日志中記載的事件之間的關(guān)聯(lián)和順序、文件系統(tǒng)的活動(dòng)特征等，同時(shí)提高數(shù)據(jù)的分析效率。

目前，本模型針對(duì)文件系統(tǒng)MAC時(shí)間戳，基于文件系統(tǒng)行為隨機(jī)模型的思想[21]，分析特定文件系統(tǒng)MAC時(shí)間戳的更新規(guī)則，對(duì)文件系統(tǒng)活動(dòng)表現(xiàn)出的特征進(jìn)行建模，提出基于MapReduce對(duì)出現(xiàn)上述活動(dòng)的文件數(shù)量及所占比例、異?；顒?dòng)所屬的用戶（或應(yīng)用）等信息進(jìn)行量化分析的方法。由于從不同系統(tǒng)中獲取的時(shí)間戳可能不完全同步，在分析之前，取證人員首先要建立統(tǒng)一的時(shí)間標(biāo)準(zhǔn)，將獲取的時(shí)間戳轉(zhuǎn)化為標(biāo)準(zhǔn)時(shí)間。

針對(duì)具有復(fù)雜結(jié)構(gòu)的數(shù)據(jù)，本模型從2個(gè)方面建立綜合性的取證工具庫(kù)。一是針對(duì)常見(jiàn)的磁盤(pán)、內(nèi)存、網(wǎng)絡(luò)數(shù)據(jù)包等數(shù)據(jù)格式，部署現(xiàn)有取證工具（如FTK、EnCase、volatility等）。搭建取證工具需要的運(yùn)行環(huán)境，并統(tǒng)一管理，以便于不同工具間的協(xié)作與對(duì)比。二是針對(duì)云平臺(tái)獨(dú)有的數(shù)據(jù)格式，一方面采用云平臺(tái)自身的數(shù)據(jù)處理工具，另一方面開(kāi)發(fā)新的分析工具。利用云平臺(tái)自身的工具是最高效的方式，但由于環(huán)境限制或CSP不提供而無(wú)法實(shí)現(xiàn)，開(kāi)發(fā)對(duì)應(yīng)的數(shù)據(jù)分析工具是必要的。工具庫(kù)可由CSP進(jìn)行管理，對(duì)已安裝的取證工具進(jìn)行定期維護(hù)與更新，并對(duì)新開(kāi)發(fā)的取證工具進(jìn)行測(cè)試與擴(kuò)展。

分析工具的輸出可作為Hadoop的輸入進(jìn)行進(jìn)一步的處理。例如，MAC時(shí)間戳是從文件系統(tǒng)的元數(shù)據(jù)中提取的，元數(shù)據(jù)的預(yù)處理需要由分析工具完成。Hadoop的輸出也可作為分析工具的數(shù)據(jù)來(lái)源。為便于Hadoop框架與工具庫(kù)的協(xié)作，在兩者之間設(shè)置數(shù)據(jù)通道，以實(shí)現(xiàn)自動(dòng)化的數(shù)據(jù)交互。

數(shù)據(jù)分析的輸出結(jié)果可能不夠直觀，本模型采用數(shù)據(jù)可視化方法，借助于圖形化手段，傳達(dá)數(shù)據(jù)的關(guān)鍵方面與特征。取證人員通常只使用可視化工具的功能而不負(fù)責(zé)工具的開(kāi)發(fā)。因此，綜合使用開(kāi)源的數(shù)據(jù)分析工具與智能化的可視化工具能更好地展示證據(jù)。本模型主要利用Graphviz實(shí)現(xiàn)可視化。Graphviz是一種開(kāi)源的基于代碼生成圖像的可視化工具[28]，能夠通過(guò)編程批量處理同類(lèi)數(shù)據(jù)，清晰展示數(shù)據(jù)集中的特殊元素，并且能夠以子進(jìn)程調(diào)用的方式運(yùn)行，便于嵌入數(shù)據(jù)分析工具，取證人員可根據(jù)展示需求，將主要精力放在數(shù)據(jù)的處理上。Graphviz支持Windows、Linux、Mac等多種操作系統(tǒng)，并具有Java、Phtyon、Perl等多種語(yǔ)言的調(diào)用接口，實(shí)用性較強(qiáng)[29]。

3.2.5 報(bào)告

在該階段，證據(jù)以報(bào)告或證言的形式提交給司法部門(mén)。考慮到司法人員通常只擁有基本的計(jì)算機(jī)知識(shí)[4,20]，取證人員需要以簡(jiǎn)單明了的方式向司法部門(mén)介紹云計(jì)算、云取證的概念以及在取證過(guò)程中運(yùn)用的技術(shù)手段。

報(bào)告應(yīng)當(dāng)條理清晰，涵蓋取證的所有階段，詳細(xì)闡述證據(jù)是如何識(shí)別、收集、存儲(chǔ)和分析的，確保整個(gè)取證過(guò)程的可重復(fù)性，便于司法人員對(duì)存在疑問(wèn)的取證操作在同樣條件下進(jìn)行驗(yàn)證；在整個(gè)過(guò)程中，證據(jù)的完整性沒(méi)有遭到破壞，證據(jù)監(jiān)管鏈能夠完整地建立；以直觀的方式展示證據(jù)的分析結(jié)果，能夠?qū)Πl(fā)生的違法行為進(jìn)行證明，對(duì)犯罪人員進(jìn)行追責(zé)，并重構(gòu)事件的整個(gè)過(guò)程。

4 云取證模型評(píng)估

結(jié)合云環(huán)境下的案例場(chǎng)景，本節(jié)對(duì)所提模型各階段的取證策略與方法的有效性進(jìn)行理論分析，并與相關(guān)工作進(jìn)行對(duì)比。

4.1 云環(huán)境下的案例場(chǎng)景

圖3 云環(huán)境下的案例場(chǎng)景

4.2 模型有效性分析

若采用傳統(tǒng)的數(shù)字取證模型，由于案件涉及的用戶量和數(shù)據(jù)量大，數(shù)據(jù)存儲(chǔ)具有虛擬性、共享性和分布性，并且資源的回收和再分配頻繁，證據(jù)的識(shí)別和收集工作難以開(kāi)展。當(dāng)前的取證工具無(wú)法有效分析“大證據(jù)”、DFS或云平臺(tái)獨(dú)有的數(shù)據(jù)格式[9]。針對(duì)云取證面臨的主要挑戰(zhàn)，本模型的有效性主要體現(xiàn)在以下5個(gè)方面。

1)實(shí)時(shí)取證準(zhǔn)備服務(wù)的部署

CSP通常只備份用戶或服務(wù)數(shù)據(jù)，而云存儲(chǔ)元數(shù)據(jù)和VM管理數(shù)據(jù)沒(méi)有進(jìn)行專(zhuān)門(mén)的預(yù)留和保護(hù)。傳統(tǒng)數(shù)字取證模型提出的取證準(zhǔn)備工作主要是保證取證的人力物力資源，而非關(guān)鍵數(shù)據(jù)的預(yù)留[30,31]。文獻(xiàn)[23]主要針對(duì)VM分析了數(shù)據(jù)易失性，但沒(méi)有提出明確的數(shù)據(jù)預(yù)留對(duì)象。

2)“迭代”策略和DFS多層級(jí)數(shù)據(jù)定位方法

3)“數(shù)據(jù)隔離”和“按需收集”策略

針對(duì)云環(huán)境下用戶和取證人員對(duì)數(shù)據(jù)的物理控制權(quán)限下降的客觀狀況，首先采用“數(shù)據(jù)隔離”策略，確保原始數(shù)據(jù)不再變化或受到刪除、篡改等破壞。本模型采取遷移無(wú)關(guān)數(shù)據(jù)或VM實(shí)例的“隔離”方法，文獻(xiàn)[33]則對(duì)涉案VM實(shí)例進(jìn)行遷移，可能造成數(shù)據(jù)在傳輸過(guò)程中的破壞。

4) 基于云資源的綜合性證據(jù)分析平臺(tái)的構(gòu)建

針對(duì)涉案數(shù)據(jù)量大且格式多樣的問(wèn)題，基于云計(jì)算的資源構(gòu)建由Hadoop框架和綜合性取證工具庫(kù)組成的證據(jù)分析平臺(tái)，并建立了二者之間的數(shù)據(jù)交互通道，使Hadoop能夠?qū)FS等具有復(fù)雜結(jié)構(gòu)的數(shù)據(jù)進(jìn)行分割處理。在工具庫(kù)的建設(shè)上，支持云平臺(tái)自帶的數(shù)據(jù)分析工具的動(dòng)態(tài)擴(kuò)展，以提高云平臺(tái)獨(dú)有數(shù)據(jù)格式的處理能力。

基于傳統(tǒng)的數(shù)字取證模型和方法，只能解決單機(jī)環(huán)境與云環(huán)境所共有的證據(jù)類(lèi)型的分析問(wèn)題，難以對(duì)大數(shù)據(jù)或云平臺(tái)獨(dú)有的數(shù)據(jù)格式進(jìn)行有效分析。當(dāng)前運(yùn)用Hadoop進(jìn)行的文件系統(tǒng)分析多是文件信息統(tǒng)計(jì)[35]或模式匹配[36]等簡(jiǎn)單處理，缺乏對(duì)文件系統(tǒng)活動(dòng)進(jìn)行更深層次的取證分析。

此外，可視化是大數(shù)據(jù)分析結(jié)果展示的要點(diǎn)，本模型采用Graphviz等智能化的可視化工具對(duì)數(shù)據(jù)分析結(jié)果進(jìn)行可視化，而傳統(tǒng)的數(shù)字取證模型或現(xiàn)有的云取證模型一般沒(méi)有提及分析結(jié)果可視化的問(wèn)題[23,24,30,31,34]。

5) 證據(jù)完整性和證據(jù)監(jiān)管鏈的維護(hù)

在云平臺(tái)中，數(shù)據(jù)的存儲(chǔ)與傳輸環(huán)境開(kāi)放，證據(jù)的完整性易于受到破壞。本模型在取證過(guò)程中的各階段提出證據(jù)完整性的保護(hù)措施。

①證據(jù)識(shí)別后到證據(jù)收集前：識(shí)別涉案數(shù)據(jù)后，立即采取“隔離”策略，防止數(shù)據(jù)在收集前繼續(xù)變化或被破壞。

②證據(jù)收集及存儲(chǔ)階段：證據(jù)的收集過(guò)程由LPR監(jiān)督，獲取的數(shù)據(jù)需由LPR簽名，防止數(shù)據(jù)篡改或偽造。此外，取證數(shù)據(jù)中心禁止對(duì)已存儲(chǔ)數(shù)據(jù)的修改。

③證據(jù)分析及分析結(jié)果存儲(chǔ)階段：證據(jù)的分析過(guò)程由LPR監(jiān)督，分析結(jié)果由LPR簽名，并且必須與已存在的數(shù)據(jù)條目建立關(guān)聯(lián)，確保數(shù)據(jù)分析過(guò)程可重復(fù)驗(yàn)證，防止惡意取證人員偽造分析結(jié)果。

④取證數(shù)據(jù)的傳輸：取證過(guò)程中收集的數(shù)據(jù)和分析結(jié)果在網(wǎng)絡(luò)中傳輸時(shí)，都是經(jīng)過(guò)LPR簽名的，能夠?qū)ζ渫暾赃M(jìn)行檢驗(yàn)。

5 結(jié)束語(yǔ)

云計(jì)算的大規(guī)模、虛擬性和分布性等固有特性導(dǎo)致傳統(tǒng)的數(shù)字取證模型和方法在云環(huán)境下存在很大的局限性。證據(jù)的識(shí)別、收集和分析面臨巨大挑戰(zhàn)，證據(jù)監(jiān)管鏈難以維護(hù)。本文針對(duì)云取證面臨的主要挑戰(zhàn)和當(dāng)前云取證模型研究的不足，分析云計(jì)算特性，提出了一種包含5個(gè)階段的云取證模型。該模型綜合運(yùn)用面向云特性的取證策略與方法、傳統(tǒng)的取證手段、CSP的數(shù)據(jù)控制權(quán)限和云計(jì)算的資源，以指導(dǎo)云環(huán)境下的取證工作。最后，本文結(jié)合云環(huán)境下的案例場(chǎng)景，分析了模型的有效性。

在未來(lái)工作中，將聯(lián)合云服務(wù)提供商和司法部門(mén)，在真實(shí)的云環(huán)境下檢驗(yàn)本文模型的可行性與有效性，并對(duì)模型進(jìn)一步完善。

[1] PASQUALE L, HANVEY S, MCGLOIN M, et al. Adaptive evidence collection in the cloud using attack scenarios[J]. Computers & Security, 2016, 59(6): 236-254.

[2] 林闖, 蘇文博, 孟坤, 等. 云計(jì)算安全:架構(gòu)、機(jī)制與模型評(píng)價(jià)[J]. 計(jì)算機(jī)學(xué)報(bào), 2013, 36(9): 1765-1784.

LIN C, SU W B, MENG K, et al. Cloud computing security: architecture, mechanism, and modeling[J]. Chinese Jourral of Cornputer, 2013, 36(9): 1765-1784.

[3] SALINAS S, LEE M, COTY S, et al. Cloud security report 2015[R]. Houston: Alter Logic, 2015.

[4] SIMOUS S, KALLONIATIS C, KAVAKLI E, et al. Cloud forensics: identifying the major issues and challenges[J]. Lecture Notes in Computer Science, 2014, 8484:271-284.

[5] 中國(guó)云計(jì)算安全政策與法律藍(lán)皮書(shū)（2014）[EB/OL]. http://www. infseclaw.net/news/html/841.html.

Cloud computing security policies and laws blue book of China (2014) [EB/OL]. http://www.infseclaw.net/news/html/841.html.

[6] ARCHER J, CULLIANCE D, PUHLMANN N, et al. Security guidance for critical areas of focus in cloud computing v3.0[R]. St Petersburg: Cloud Security Alliance, 2011.

[7] RUAN K, CARTHY J, KECHADI T, et al. Cloud forensics definitions and critical criteria for cloud forensic capability: an overview of survey results[J]. Digital Investigation, 2013, 10(1): 34-43.

[8] MELL P, GRANCE T. The NIST definition of cloud computing[R]. Gaithersburg: NIST, 2011.

[9] 楊澤明, 劉寶旭, 許榕生. 數(shù)字取證研究現(xiàn)狀與發(fā)展態(tài)勢(shì)[J]. 科研信息化技術(shù)與應(yīng)用, 2015, 6(1):3-11.

YANG Z M, LIU B X, XU R S. Current situation and trend of digital forensics research[J]. e-Science Technology & Application, 2015, 6(1):3-11.

[10] PICHAN A, LAZARESCU M, SOH S T. Cloud forensics: technical challenges, solutions and comparative analysis[J]. Digital Investigation, 2015, 13: 38-57.

[11] QUICK D, CHOO K K R. Impacts of increasing volume of digital forensic data: A survey and future research challenges[J]. Digital Investigation, 2014, 11(4): 273-294.

[12] MARTINI B, CHOO K K R. Distributed filesystem forensics: XtreemFS as a case study[J]. Digital Investigation, 2014, 11(4): 295-313.

[13] SIBIYA G, VENTER H S, FOGWILL T. Digital forensics in the cloud: the state of the art[C]//2015 IST-Africa Conference. 2015: 1-9.

[14] ALEX M E, KISHORE R. Forensics framework for cloud computing[J]. Computers & Electrical Engineering, 2017, 60(4): 193-205.

[15] ZAWOAD S, DUTTA A K, HASAN R. SecLaaS: secure logging-as-a-service for cloud forensics[C]//The 8th ACM SIGSAC Symposium on Information, Computer and Communications Security. 2013: 219-230.

[16] BIRK D, WEGENER C. Technical issues of forensic investigations in cloud computing environments[C]//The 2011 IEEE 6th International Workshop on Systematic Approaches to Digital Forensic Engineering. 2011: 1-10.

[17] VACCA J R. Computer forensics: computer crime scene investigation[M]. Hingham: Charles River Media, 2013.

[18] GRISPOS G, STORER T, GLISSON W. Calm before the storm: the challenges of cloud computing in digital forensics[J]. International Journal of Digital Crime and Forensics, 2012, 4(2): 28-48.

[19] TAYLOR M, HAGGERTY J, GRESTY D, et al. Digital evidence in cloud computing systems[J]. Computer Law & Security Report, 2010, 26(3): 304-308.

[20] ALQAHTANY S, CLARKE N, FURNELL S, et al. A forensic acquisition and analysis system for IaaS[J]. Cluster Computing, 2016, 19(1): 439-453.

[21] GRIER J. Detecting data theft using stochastic forensics [J]. Digital Investigation, 2011, 8: S71-S77.

[22] PUTHAL D, SAHOO B P S, MISHRA S, et al. Cloud Computing Features, Issues, and Challenges: A Big Picture[C]//The International Conference on Computational Intelligence & Networks, 2015:116-123.

[23] ZAWOAD S, HASAN R, SKJELLUM A. OCF: an open cloud forensics model for reliable digital forensics[C]//2015 IEEE 8th International Conference on Cloud Computing (CLOUD). 2015: 437-444.

[24] MARTINI B, CHOO K K R. An integrated conceptual digital forensic framework for cloud computing[J]. Digital Investigation, 2012, 9(2): 71-80.

[25] 謝亞龍，丁麗萍，林渝淇，等. ICFF: 一種IaaS模式下的云取證框架[J]. 通信學(xué)報(bào), 2013, 34(5): 200-206.

XIE Y L, DING L P, LIN Y Q, et al. ICFF: a cloud forensics framework under the IaaS model[J]. Journal on Communications, 2013, 34(5): 200-206.

[26] RISTENPART T, TROMER E, SHACHAM H, et al. Hey, you, get off of my cloud: exploring information leakage in third-party compute clouds[C]//ACM Conference on Computer and Communications Security. 2009:199-212.

[27] FAHDI M A, CLARKE N L, LI F, et al. A suspect-oriented intelligent and automated computer forensic analysis[J]. Digital Investigation, 2016, 18:65-76.

[28] Using graphviz as a library (cgraph version)[EB/OL]. http:// graphviz. org/pdf/ libguide.pdf.

[29] Documentation[EB/OL].http://www.graphviz.org/Documentation. php.

[30] REITH M, CARR C, GUNSCH G. An examination of digital forensic models[J]. International Journal of Digital Evidence, 2002, 1(3):1-12.

[31] 丁麗萍, 王永吉. 多維計(jì)算機(jī)取證模型研究[J]. 信息網(wǎng)絡(luò)安全, 2005(11):5-9.

DINH L P, WANG Y J. Multi-dimension forensics model research[J]. NeTINFO Security, 2005(11):5-9.

[32] TRENWITH P M, VENTER H S. A digital forensic model for providing better data provenance in the cloud[C]//The Information Security for South Africa. 2014: 1-6.

[33] 周剛. 云計(jì)算環(huán)境中面向取證的現(xiàn)場(chǎng)遷移技術(shù)研究[D]. 武漢: 華中科技大學(xué), 2011.

ZHOU G. Research on forensics-oriented site migration technology in cloud computing environment[D]. Wuhan: Huazhong University of Science and Technology, 2011.

[34] SIMOUS S, KALLONIATIS C, MOURATIDIS H, et al. Towards the development of a cloud forensics methodology: a conceptual model[J]. Lecture Notes in Business Information Processing, 2015, 215:470-481.

[35] LIM S H. Implementation of MapReduce model for disk forensic computing analysis[J]. Lecture Notes in Electrical Engineering, 2012, 164:577-584.

[36] POVAR D, SAIBHARATH, GEETHAKUMARI G. Real-time digital forensic triaging for cloud data analysis using MapReduce on Hadoop framework[J]. International Journal of Electronic Security & Digital Forensics, 2014, 7(2): 119-133.

Cloud computing forensic model

GAO Yuan-zhao1,2, LI Xue-juan3, LI Bing-long1,2, WU Xi-xi4

（1. Information Engineering University, Zhengzhou 450001, China;2. State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450001, China;3. Audit Department of Henan Polytechnic University, Jiaozuo 454010, China;4. Baicheng Weapon Testing Center, Baicheng 137000, China）

Aiming at the main challenges facing cloud forensics, cloud characteristics were analyzed and a cloud forensic model was proposed. In the model, the deployment of persistent forensic readiness service, multi-round identification strategy based on “iteration” and multi-level evidence location method for distributed file system, “data isolation” and “on-demand collection” strategies, and the establishment of comprehensive evidence analysis platform based on cloud resources were presented. Finally, the validity of the model was analyzed combining the forensic scene in the cloud environment.

cloud computing, cloud forensics, forensic model, forensic strategy, forensic method

TP311

A

10.11959/j.issn.2096-109x.2017.00194

2017-08-02；

2017-09-04；

李炳龍，lbl2017@163.com

國(guó)家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016006）；國(guó)家自然科學(xué)基金資助項(xiàng)目（No.60903220）

The National High Technology Research and Development Program of China (863 Program) (No.2015AA016006), The National Natural Science Foundation of China (No. 60903220)

高元照（1992-），男，河北衡水人，信息工程大學(xué)博士生，主要研究方向?yàn)樵朴?jì)算取證。

李學(xué)娟（1974-），女，河南衛(wèi)輝人，河南理工大學(xué)工程師，主要研究方向?yàn)榭刂评碚撆c控制工程。

李炳龍（1974-），男，河南衛(wèi)輝人，博士，信息工程大學(xué)副教授，主要研究方向?yàn)閿?shù)字取證。

吳熙曦（1990-），女，四川成都人，白城兵器試驗(yàn)中心助理工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。