ICFF：一種IaaS模式下的云取證框架

謝亞龍，丁麗萍，林渝淇，趙曉柯

(1.中國科學院 軟件研究所 基礎軟件國家工程研究中心，北京 100190；2.中國科學院 研究生院，北京 100190)

1 引言

隨著云計算技術的迅猛發(fā)展，云環(huán)境下的取證技術成為了當前的一個研究熱點。與傳統(tǒng)的數(shù)字取證技術不同，云取證所面對的系統(tǒng)結構更加復雜、數(shù)據(jù)規(guī)模更加巨大。就拿一個小規(guī)模的云來舉例，假設該系統(tǒng)中有2 000個節(jié)點，每個節(jié)點磁盤空間為320 GB，RAM為2 GB，則總的磁盤取證空間是640 TB，RAM取證空間為4 TB，即使不考慮節(jié)點間操作系統(tǒng)及文件系統(tǒng)的不同，如此龐大的數(shù)據(jù)量是傳統(tǒng)取證技術無法勝任的。因此，如何從云中獲取完整可靠的證據(jù)數(shù)據(jù)是當前云取證研究的難點問題[1]。具體而言，云取證主要面臨以下4大技術難題。

1) 云中數(shù)據(jù)物理存放地點范圍太大。云數(shù)據(jù)中心由成千上萬臺擁有大容量存儲設備的PC組成，云系統(tǒng)屏蔽了下層數(shù)據(jù)存儲的實現(xiàn)細節(jié)，只對用戶提供一個邏輯上單一的數(shù)據(jù)存放地址，因此，要想獲得云中數(shù)據(jù)的物理存放地址并非易事[2]。

2) 云應用產生的邏輯上相關的數(shù)據(jù)可能被分散存放。云應用所產生的數(shù)據(jù)被統(tǒng)一存儲在邏輯上連續(xù)的地址空間中，而這些數(shù)據(jù)的物理存放地址可能并不連續(xù)，甚至可能被分散在好幾個不同的存儲設備中。

3) 待取證數(shù)據(jù)規(guī)模大，而真正與犯罪相關的信息很少。云中存儲著海量數(shù)據(jù)，從如此大規(guī)模的數(shù)據(jù)中提取證據(jù)信息有如大海撈針。就以IaaS模型舉例，一個虛擬機鏡像小則幾 GB，大則幾十至幾百GB，而存儲在這些鏡像中的關鍵證據(jù)信息可能就只有幾KB。

4) 云的彈性擴展機制要求取證能及時適應系統(tǒng)規(guī)模的變化，即實現(xiàn)彈性取證[3]。彈性擴展是云系統(tǒng)的關鍵特征，它能在云應用運行期間實現(xiàn)支撐云應用的虛擬機實例個數(shù)的動態(tài)增加或者減少。當虛擬機實例個數(shù)減少時，若不能及時提取出殘留在該虛擬機實例中的證據(jù)信息，則這些證據(jù)信息很可能會丟失，且難以恢復[4]。

與傳統(tǒng)的數(shù)字取證技術相比，云取證技術面臨的挑戰(zhàn)主要包括2個方面。首先，沒有成熟的云取證工具供調查人員使用，云取證活動主要依靠調查人員掌握的傳統(tǒng)取證技術及相關經(jīng)驗，若調查人員操作不當很可能會破壞原始證據(jù)信息，從而導致取證失敗。其次，證據(jù)信息的獲取難度及方法會隨著云服務模型及部署模型的不同而不同[5]。例如，相對于公有云而言，私有云架構更加清晰、云數(shù)據(jù)的存放節(jié)點地點固定，因此私有云模式下的取證難度遠小于公有云；相對于軟件即服務 (SaaS, software as a service)模型而言，IaaS模型能提供更多底層的數(shù)據(jù)供調查人員取證分析，因此IaaS模型下的取證難度會小于SaaS模型。

目前，國內外學者對于云取證的研究主要包括3個方面：1) 研發(fā)應用于用戶端的證據(jù)提取工具，該工具主要用于獲取用戶使用云應用時所產生的證據(jù)數(shù)據(jù)；2) 探索特定的云平臺在遭受不同攻擊時的取證方法；3) 將云系統(tǒng)中的虛擬機實例作為主要取證分析對象，解決虛擬機實例遷移過程中的數(shù)據(jù)保全問題。上述研究中，第1種方法所獲取的證據(jù)數(shù)據(jù)非常有限，得進一步獲取云服務端的證據(jù)數(shù)據(jù)；第2種方法通用性較差；第3種方法在虛擬機實例被惡意破壞時就會失效。

本文給出了一個 IaaS云模型下的取證框架ICFF，并在開源 IaaS云平臺 Eucalyptus[6,7]中進行了實現(xiàn)。通過實驗研究證明了該框架能夠有效解決云取證中的4大技術難題。

2 相關工作分析

云計算的推出帶來了云安全問題，云安全成了云計算發(fā)展的瓶頸。因此，作為與云安全相對應的云取證也成了關注的焦點。在CSA發(fā)布的《云計算關鍵領域安全指南V3.0》上把云取證作為一項關系云計算發(fā)展的重大問題所提出。Keyun等人對150多位數(shù)字取證專家進行了采訪，列舉出了他們對云取證領域的一些關鍵問題的看法，如云取證技術面臨著哪些挑戰(zhàn)、帶來了哪些機遇，有哪些有價值的研究方向等[8]。Birk等人從技術的角度剖析了云取證所面臨的技術難題[5]，而Reilly等人則從法律的角度分析了云取證技術所面臨的法律障礙[9]。

OWADE[10]宣稱是第一個云取證工具，由斯坦福大學的Elie Bursztein教授于2011年在黑帽(black hat)大會上提出。Elie Bursztein認為云服務的接入端應當包含有大量證據(jù)信息，因此他設計的OWADE工具主要用于用戶端的證據(jù)提取。該工具目前僅支持 Windows系統(tǒng)，能對主流的瀏覽器如Chrome、Internet Explorer、Firefox及Safari進行證據(jù)提取和分析，并能獲得當前主流即時通信軟件如Skype、Google Gtalk及MSN的本地聊天記錄。雖然該工具在用戶端能提取到用戶使用諸如Skype等云服務的證據(jù)信息，但是這些信息非常有限且很容易遭到犯罪分子的惡意破壞，因此還需與CSP端提取到的證據(jù)一起組成完整的證據(jù)鏈。

Zafarullah等人針對開源云平臺 Eucalyptus環(huán)境下的取證技術進行了研究[11]。首先，他們在云系統(tǒng)內部部署了2臺攻擊源主機；然后，利用上述主機對云控制器 (CLC, cloud controller) 節(jié)點發(fā)起DoS/DDoS攻擊，耗盡CLC節(jié)點的CPU、內存及網(wǎng)絡帶寬等資源，致使 Eucalyptus無法開啟新的虛擬機實例，無法及時對終端用戶的請求進行響應；最后，從Syslog、Snort等日志記錄中查找本次攻擊的來源。Zafarullah總的研究思路就是先對Eucalyptus進行攻擊，然后針對該類型的攻擊尋找相應的取證方法。雖然作者提出的方法對特定類型攻擊的取證調查有較強的借鑒意義，但還存在2點不足：首先，網(wǎng)絡攻擊的方式多種多樣且不斷變化，對每一種攻擊都提出一種取證方案的可行性不大且沒有必要；其次，對于那些符合云系統(tǒng)安全規(guī)則所產生的數(shù)字證據(jù)，作者并沒有提出有效的提取方法。

華中科技大學的周剛博士提出了一種以現(xiàn)場遷移技術為基礎的云取證方法，該方法將虛擬機實例視為取證分析對象[12]。當有取證需求時，將待取證虛擬機實例遷移至本地，在遷移過程中，對虛擬機實例的內存映射、網(wǎng)絡連接等易失性數(shù)據(jù)進行了保全，然后將該虛擬機實例在本地進行加載，最后利用一些傳統(tǒng)的取證工具在虛擬機實例中進行取證。該方法雖然能有效地從正常運行的虛擬機實例中獲得證據(jù)數(shù)據(jù)，但當虛擬機實例被用戶惡意破壞無法加載時，該方法就會失效。

本文對云計算及其安全和取證進行了全面的分析研究。首先，對虛擬機技術進行了研究，剖析了其實現(xiàn)已有的安全模型、面臨的安全威脅和安全防護及取證等機制；其次，對針對Xen虛擬機的入侵技術進行了研究，特別是Blue Pill等較為致命的入侵技術及其防范技術進行了深入研究，提出了采用DMA技術進行防范的方法，實現(xiàn)了對Xen的超級調用的審計；第三，研究了基于虛擬機的隱蔽信道通信機制并提出了隱蔽信道的標識方法[13,14]。

因此，基于對虛擬機的研究，本文提出的方法和國內外其他相關研究相比有以下優(yōu)勢。

1) 具有完整性保護能力。在取證框架中設計了一系列的安全保護機制，能夠有效應對惡意用戶或惡意軟件對該框架發(fā)起的干擾，有效防止惡意用戶篡改、刪除證據(jù)數(shù)據(jù)，從而保證了證據(jù)的完整性。此外，當某個虛擬機(VM, virtual machine)被惡意破壞且無法修復時，能保證對該VM的取證不受影響。

2) 具備彈性擴展能力。實現(xiàn)了取證力度伴隨VM 的規(guī)模變化而變化。將“證據(jù)抓取器”與 VM綁定在一起，當VM的數(shù)量增加或減少時，“證據(jù)抓取器”能及時地將VM中的證據(jù)數(shù)據(jù)轉移到專用的取證虛擬機中。

3) 取證效率高。訓練出的“證據(jù)抓取器”實時抓取VM中的證據(jù)數(shù)據(jù)，避免了對VM中所有數(shù)據(jù)及云中所有VM的取證。能對“證據(jù)抓取器”進行靜態(tài)、動態(tài)配置，限定其數(shù)據(jù)抓取范圍，從而避免了對VM中的常規(guī)系統(tǒng)文件等無關數(shù)據(jù)的取證，提高了取證效率。

3 ICFF的設計與實現(xiàn)

3.1 Xen簡介

虛擬化技術是云計算的關鍵技術。當前一些主流的云平臺均基于Xen進行實現(xiàn)，如Amazon EC2、Eucalyptus、Xen Cloud Platform等。本文提出的取證框架ICFF也是基于Xen進行設計實現(xiàn)的。

Xen[15]是一個開源虛擬機監(jiān)控器，其體系結構如圖1所示。由圖1可知，Xen直接運行在物理硬件之上，并向上層操作系統(tǒng)提供虛擬化環(huán)境。每一個運行在Xen之上的虛擬機均被稱為一個虛擬域，虛擬域又可分為特權域Domain0及非特權域DomainU，特權域擁有硬件設備驅動并提供非特權域的管理接口。Xen同時支持半虛擬化和全虛擬化，半虛擬化需要修改客戶操作系統(tǒng)(guest OS)源碼，而全虛擬化則不需修改系統(tǒng)源碼，但需有諸如 Intel VT、AMD-V等硬件虛擬化技術的CPU的支持。

圖1 Xen體系結構

3.2 整體架構

如圖2所示，整個取證框架由4個部分組成：位于取證虛擬機(FVM, forensic virtual machine)中的證據(jù)保護及分析模塊、證據(jù)提取模塊，位于虛擬服務器中的證據(jù)抓取器(EC, evidence crawler)，位于Xen Hypervisor中的實時取證模塊。其中，F(xiàn)VM為云平臺服務商所有，并不向公眾提供服務，僅用來保存及分析收集到的證據(jù)數(shù)據(jù)并提供查詢接口；虛擬服務器為云平臺服務商所提供的租用對象，供個人或企業(yè)租用。

圖2 取證框架系統(tǒng)架構

1) 證據(jù)保護及分析模塊：本模塊向EC下達證據(jù)收集命令(圖 2中的①)，分析現(xiàn)有證據(jù)并根據(jù)分析結果通知實時取證模塊獲取與虛擬服務器相關的實時證據(jù)數(shù)據(jù)(圖2中的④)。

2) 證據(jù)抓取器：收集虛擬服務器中的證據(jù)數(shù)據(jù)并發(fā)送給FVM(圖2中的②)。

3) 實時取證模塊：截獲虛擬服務器中的VM Exit指令，獲取其系統(tǒng)中正在運行的進程信息(圖2中的③)，將獲取的上述數(shù)據(jù)發(fā)送給 FVM(圖 2中的⑤)。

4) 證據(jù)提取模塊：供調查人員使用，是 FVM對外的唯一接口。負責接收調查人員的證據(jù)提取命令(圖2中的⑥)，將上述命令轉換為統(tǒng)一規(guī)則的查詢語句后發(fā)送給證據(jù)保護及分析模塊(圖 2中的⑦)，等待分析模塊回傳符合需求的證據(jù)數(shù)據(jù)(圖2中的⑧)，將證據(jù)數(shù)據(jù)的副本傳輸給調查人員(圖2中的⑨)。

3.3 證據(jù)抓取器

EC的任務是從虛擬服務器中識別并抓取證據(jù)數(shù)據(jù)，然后將證據(jù)數(shù)據(jù)傳輸至FVM中。EC結構如圖3所示。

1) 激活

在抓取證據(jù)之前需先將EC激活，激活方式如下。①定時激活，在某個時間點或每隔一個時間段將抓取器激活；②通過遠程命令激活；③事件激活，當虛擬服務器系統(tǒng)出現(xiàn)特定事件(如有用戶登錄)時激活。在VM未受到惡意攻擊之前，EC所抓取的證據(jù)數(shù)據(jù)尚未被修改，能被法庭所認可。而當VM被黑客攻破后，黑客能任意篡改該VM中的數(shù)據(jù)，此時獲取的證據(jù)數(shù)據(jù)已不再具有法律效力。因此，需在黑客嘗試攻擊VM階段及時激活抓取器，完成證據(jù)轉移工作。

黑客要想對某個VM發(fā)起攻擊，其首先得發(fā)現(xiàn)該VM中系統(tǒng)的現(xiàn)有漏洞，然后針對該漏洞使用專門的攻擊方法。在黑客進行漏洞掃描、遠程入侵過程中均會引發(fā)一系列的系統(tǒng)事件，如特定網(wǎng)絡端口掃描事件、應用程序緩沖區(qū)溢出錯誤事件、系統(tǒng)用戶登錄事件等。因此，對這些事件進行監(jiān)聽并及時激活EC，能實現(xiàn)對黑客入侵全過程的取證。

2) 證據(jù)識別及抓取

證據(jù)數(shù)據(jù)的智能識別需結合人工智能技術來實現(xiàn)，本文根據(jù)日常取證經(jīng)驗，對 Windows及Linux平臺中證據(jù)數(shù)據(jù)的存在形式、存放路徑進行了歸納，并將這些知識形成了統(tǒng)一的規(guī)則提供給EC。

證據(jù)數(shù)據(jù)的抓取范圍可以通過以下2種方式來設定：①通過配置文件指定證據(jù)數(shù)據(jù)的路徑；②通過遠程命令實時指定待抓取數(shù)據(jù)的類型、路徑、特征等。第1種方式常用于提取常規(guī)證據(jù)數(shù)據(jù)，如操作系統(tǒng)日志、應用軟件(如Web服務器、數(shù)據(jù)庫)日志、非日志形式的敏感文件等；第2種方式則是第1種方式的一個補充，實時接收并完成來至其他模塊的取證需求。

圖3 EC結構

3.4 實時取證模塊

實時取證模塊隨著Xen啟動而啟動，負責全程記錄VM中進程的執(zhí)行情況，所記錄的信息包括時間戳、VM的ID號、進程名、進程ID號。上述記錄信息可以作為黑客入侵行為的有效證據(jù)，同時對黑客入侵方法及入侵過程的分析也極具參考意義。

對于那些使用Linux內核的Guest OS，可以將進程監(jiān)控模塊嵌入到其內核源碼中，然后注冊一個事件通道號，用于Guest OS與Xen之間通信，最后通過共享內存的方式將獲取的進程記錄信息傳遞到Xen中。

若不想修改Guest OS內核源碼，則需使用硬件虛擬化技術。實現(xiàn)原理如圖4所示，Guest OS中任一進程切換時，都需將新進程的頁表基地址寫入到特權寄存器CR3，此時CPU會發(fā)生VM Exit，陷入到Xen中。具體實現(xiàn)步驟如下。

1) 在Xen中捕獲CPU嵌入指令VM Exit。

2) 設置Hook函數(shù)獲取CR3寄存器的值。

3) 從相應 VM 的堆棧中獲取進程描述符(PD,process descriptor)。

4) 從PD中獲取進程ID及進程名，將上述進程信息及Xen中統(tǒng)一時間戳寫入記錄表。

圖4 實時取證模塊原理

3.5 證據(jù)保護及分析模塊

該模塊負責接收由EC傳輸過來的證據(jù)數(shù)據(jù)，然后對這些數(shù)據(jù)進行校驗、保護及分析。

3.5.1 證據(jù)保護

云計算環(huán)境下的不安全因素較多，有來至云系統(tǒng)內部的安全威脅，也有來至云系統(tǒng)外部(如互聯(lián)網(wǎng))的安全威脅。為了提高該取證框架的抗干擾能力，保障證據(jù)數(shù)據(jù)的完整性及機密性，特設計了以下安全機制。

1) 證據(jù)數(shù)據(jù)的傳輸校驗機制

設計傳輸校驗機制主要有3個目的：①確保證據(jù)數(shù)據(jù)傳輸過程中不被篡改；②確保證據(jù)數(shù)據(jù)的內容不會被非法用戶獲取；③確保證據(jù)數(shù)據(jù)不能被偽造。

在本取證框架中，引入了數(shù)字證書機制，由云平臺服務商給FVM及EC頒發(fā)證書。EC抓取到證據(jù)數(shù)據(jù)后，首先利用 MD5算法生成校驗值，然后將上述證據(jù)數(shù)據(jù)及校驗數(shù)據(jù)組裝成證據(jù)數(shù)據(jù)分組，隨后利用該EC的數(shù)字證書對數(shù)據(jù)分組進行簽名并加密，最后通過網(wǎng)絡將其發(fā)送至FVM。

FVM收到EC傳輸過來的數(shù)據(jù)分組時，首先將其解密，然后獲取該數(shù)據(jù)分組的數(shù)字簽名，若該簽名與VM中EC的證書不符，則說明該數(shù)據(jù)分組是由VM中其他惡意程序所偽造，進而表明該VM已被惡意用戶控制。數(shù)字簽名驗證通過后，再對證據(jù)數(shù)據(jù)進行校驗，若校驗不通過，則說明證據(jù)數(shù)據(jù)分組傳輸過程中存在分組丟失現(xiàn)象，需將該證據(jù)數(shù)據(jù)分組丟棄并要求EC重傳。整個流程如圖5所示。

圖5 證據(jù)數(shù)據(jù)傳輸校驗流程

2) 對EC的保護機制

EC的角色至關重要，只有它正確運行才能保證FVM能源源不斷地獲得證據(jù)數(shù)據(jù)。因此，需設計一種檢測機制，用于判定EC是否被其他惡意程序所干擾。干擾方式有2種：一是阻止EC運行；二是阻礙EC抓取及傳輸證據(jù)數(shù)據(jù)。相應的檢測機制如圖6所示。

圖6 EC保護流程

FVM定時向VM中的EC發(fā)送請求報文，EC收到請求后需及時響應，并利用其數(shù)字證書對響應數(shù)據(jù)進行簽名。若FVM未收到響應數(shù)據(jù)，或從響應數(shù)據(jù)中提取的簽名與EC本身的證書不符，則可認為EC程序已被惡意程序所終止。

FVM中的數(shù)據(jù)接收程序對每個EC的證據(jù)抓取行為進行了記錄，并按照時間段對EC的抓取次數(shù)、抓取數(shù)據(jù)量進行了統(tǒng)計，當EC在某個時間段的行為嚴重偏離了統(tǒng)計值時，認為有惡意程序阻礙其抓取或傳輸證據(jù)數(shù)據(jù)。

3) FVM中的證據(jù)保護機制

FVM中存放著大量的證據(jù)信息，為了確保這些證據(jù)數(shù)據(jù)不被惡意用戶篡改，需設計有效的保護機制抵御以下2種威脅：①來至云系統(tǒng)內部其他VM的威脅；②來至FVM系統(tǒng)內部其他應用程序的威脅。Xen系統(tǒng)中，Hypervisor層實現(xiàn)了VM間的安全隔離機制，某一VM中的惡意程序無法篡改其他VM中的數(shù)據(jù)，這就有效抵御了第1種威脅，這也正是本文設置FVM并將證據(jù)保護及分析模塊安插在FVM中的主要原因。對于第2種威脅，采用了以下抵御策略：在FVM中對強制訪問控制機制進行了配置，只有證據(jù)接收進程擁有證據(jù)數(shù)據(jù)的寫操作權限，除證據(jù)接收、分析、提取進程外，其他進程均不能讀取證據(jù)數(shù)據(jù)。

3.5.2 證據(jù)分析

證據(jù)數(shù)據(jù)收集完成后，可利用數(shù)據(jù)挖掘技術對這些數(shù)據(jù)進行分析，實時發(fā)現(xiàn)云系統(tǒng)中出現(xiàn)的一些安全問題[16,17]。證據(jù)的智能分析技術較為復雜，為了盡可能地精簡本取證框架，只實現(xiàn)了對來自云系統(tǒng)內部的拒絕服務式攻擊的智能檢測，并預留了證據(jù)智能分析接口。智能分析作為未來工作去完成。

4 實驗驗證

4.1 實驗環(huán)境

為了驗證本文提出的方法，本文搭建了開源云平臺 Eucalyptus，之所以選擇該平臺，是因為Eucalyptus是一個與Amazon EC2兼容的IaaS系統(tǒng)，具有較強的代表性。整個云系統(tǒng)由5臺相同配置的PC機構成，每臺PC均配有Intel Core i7 860@2.8GHz CPU、4 GB內存、500 GB硬盤，運行32bit的Fedora 12操作系統(tǒng)。其中，1臺PC作為Eucalyptus的前端節(jié)點，運行著云控制器CLC、集群控制器CC、存儲控制器SC及walrus組件，其余4臺則為實際的計算節(jié)點，運行著節(jié)點控制器NC組件。

Eucalyptus平臺上共運行 7個虛擬機實例：1個FVM，3個搭載Windows Server 2003操作系統(tǒng)的VM，3個搭載Fedora 10操作系統(tǒng)的VM。除FVM外，其他VM均向外提供Web服務。

4.2 攻擊方法

Windows Server 2003系統(tǒng)中存在一個設計上的漏洞(CVE-2008-4250)[18]，惡意用戶通過構造一個特殊的遠程RPC請求，則可遠程執(zhí)行其構造的任意代碼。在實驗過程中，利用該漏洞對云中的VM發(fā)起攻擊，具體步驟如下。

1) 利用滲透工具 Metasploit構造特殊 PRC請求，獲得目標機VM01的System用戶權限并開啟4444端口。

2) 遠程登錄VM01，開啟命令行程序cmd.exe。

3) 從VM01中登錄事先搭建好的FTP服務器，從該服務器中下載漏洞掃描工具、“灰鴿子”木馬。

4) 在 VM01中執(zhí)行漏洞掃描工具，獲取云平臺中其他VM可能存在的系統(tǒng)漏洞信息。

5) 在 VM01中安裝“灰鴿子”木馬，刪除其系統(tǒng)日志。

4.3 證據(jù)提取

在上述攻擊過程中，黑客最終刪除了VM01中的系統(tǒng)日志并安裝了木馬，將該機器變成了“肉機”，并可以將該機器作為跳板對整個云系統(tǒng)發(fā)起攻擊。黑客的上述操作嚴重破壞了 VM01中的證據(jù)數(shù)據(jù)，致使傳統(tǒng)的取證方法無法從該機器中獲得完整及可靠的證據(jù)信息。

本文所述的取證框架能實時獲取VM01中的證據(jù)數(shù)據(jù)，在取證虛擬機FVM中，與VM01相關的部分證據(jù)數(shù)據(jù)如表1所示。由表1可知：黑客構造的RPC請求會致使瀏覽器服務意外終止；攻擊源主機的IP地址為192.168.1.110；攻擊源主機所屬的源工作站為VvvWoTb5JVSKTJD。

表1 EC獲取的部分證據(jù)數(shù)據(jù)

實時取證模塊中的部分證據(jù)數(shù)據(jù)如表2所示，由該表可以得到黑客入侵系統(tǒng)后所進行的操作：首先啟動cmd.exe，然后執(zhí)行ftp.exe下載部分惡意工具，其次執(zhí)行漏洞掃描 sfind.exe，最后安裝木馬G_Server.exe。

表2 實時取證模塊中部分證據(jù)數(shù)據(jù)

由上述證據(jù)數(shù)據(jù)可知，本文不但獲得了黑客所屬工作站、IP地址等關鍵信息，還通過實時取證模塊得到了其入侵系統(tǒng)后所運行的進程信息，由這些進程信息所推導出的黑客攻擊步驟與上一節(jié)中所述的攻擊步驟完全一致，也進一步證明了 ICFF框架的有效性。

4.4 證據(jù)數(shù)據(jù)的規(guī)模

ICFF框架所獲取證據(jù)數(shù)據(jù)的規(guī)模與用戶的具體配置相關，在默認配置條件下，框架只自動抓取VM系統(tǒng)的日志及審計信息。通過實驗發(fā)現(xiàn)，每個VM每天平均產生2 239 KB的日志及審計數(shù)據(jù)。在本節(jié)所述的實驗中，就是通過分析上述2 MB左右的證據(jù)數(shù)據(jù)獲得了黑客的IP地址等關鍵信息，從而避免了對整個虛擬機鏡像(每個鏡像平均8.23GB)的取證，提高了取證效率。

5 結束語

本文分析了云環(huán)境下數(shù)字取證技術所面臨的挑戰(zhàn)和難題，提出了一種 IaaS云服務模型下的取證框架ICFF。在該框架中，訓練了一種在Windows及Linux平臺中正常工作的智能證據(jù)抓取器，該抓取器能夠自動地從虛擬機中抓取證據(jù)數(shù)據(jù)；設置了一個專門用來存儲、分析證據(jù)信息的取證虛擬機FVM；設計了一套安全保護機制，能有效提高該取證框架的抗干擾能力，保障證據(jù)數(shù)據(jù)的完整性及機密性。將該框架在開源 IaaS云平臺 Eucalyptus中進行了實現(xiàn)，并設計實驗進行了驗證分析。實驗表明，該框架能夠有效并快速地獲取云平臺中的證據(jù)數(shù)據(jù)，并能對取證系統(tǒng)和證據(jù)數(shù)據(jù)進行有效保護。在下一步工作中，將增強實時取證模塊的功能，增加對 VM 內存的實時取證，完成對證據(jù)數(shù)據(jù)的智能分析。另外，還進一步研究PaaS及SaaS云服務模型下的取證方法。

[1] SIMSON L G.Digital forensics research: the next 10 years[J].Digital Investigation, 2010, (7): 64-73.

[2] WOLTHUSEN S D.Overcast: forensic discovery in cloud environments[A].The 5th International Conference on IT Security Incident Manage ment and IT Forensics[C].Stuttgart, 2009.3-9.

[3] KEYUN R, JOE C, TAHAR K,et al.Cloud forensics: an overview[A].7th IFIP Conference on Digital Forensics[C].Florida, USA, 2011.35-46.

[4] BIGGS S, VIDALIS S.Cloud computing: the impact on digital forensic investigations[A].International Conference for Internet Technology and Secured Transactions[C].London, Engloud, 2009.1-6.

[5] BIRK D, WEGENER C.Technical issues of forensic investigations in cloud computing environments[A].IEEE 6th International Workshop on Systematic Approaches to Digital Forensic Engineering[C].Oakland, 2011.1-10.

[6] Eucalyptus[EB/OL].http://www.eucalyptus.com/.

[7] NURMI D, WOLSKI R, GRZEGORCZYK C,et al.The eucalyptus open-source cloud-computing system[A].IEEE/ACM International Symposium on Cluster Computing and the Grid[C].Shanghai, China, 2009.124-131.

[8] KEYUN R, IBRAHIM B, JOE C,et al.Survey on cloud forensics and critical criteria for cloud forensic capability: a preliminary analysis[A].Proceedings of the ADFSL Conference on Digital Forensics, Security and Law[C].Virginia, USA, 2011.105-121.

[9] REILLY D, WREN C, BERRY T.Cloud computing: forensic challenges for law enforcement[A].International Conference for Internet Technology and Secured Transactions[C].London, Engloud, 2010.1-7.

[10] ELIE B, IVAN F, MATTHIEU M,et al.Doing forensics in the cloud age OWADE: beyond files recovery forensic[A].Black Hat[C].Las-Vegas, USA, 2011.1-23.

[11] ZAFARULLAH Z, ANWAR F, ANWAR Z.Digital forensics for eucalyptus[A].Frontiers of Information Technology[C].Islamabad,2011.110-116.

[12] 周剛.云計算環(huán)境中面向取證的現(xiàn)場遷移技術研究[D].武漢:華中科技大學, 2011.ZHOU G.Research on Scene Migration of Computer Forensics in Cloud Computing Environment[D].Wuhan: Huazhong University Science and Technology, 2011.

[13] WU J Z, DING L P, WANG Y J,et al.Identification and evaluation of sharing memory covert timing channel in xen virtual machines[A].IEEE 4th Conference on Cloud Computing[C].Washington DC, USA,2011.283-291.

[14] WU J Z, DING L P, LIN Y Q,et al.Xenpump: a new method to mitigate timing channel in cloud computing[A].IEEE 5th Conference on Cloud Computing[C].Hawaii, USA, 2012.678-685.

[15] PAUL B, BORIS D, KEIR F,et al.Xen and the art of virtualization[A].Proceedings of the Nineteenth ACM Symposium on Operating Systems Principles[C].New York, USA, 2003.164-177.

[16] XU W, HUANG L, FOX A,et al.Detecting large-scale system problems by mining console logs[A].Proceedings of the ACM SIGOPS 22nd Symposium on Operating Systems Priciples[C].New York, USA,2009.117-132.

[17] HU Z B, SU J, SHIROCHIN V P.An intelligent lightweight intrusion detection system with forensics technique[A].4th IEEE Workshop on Intelligent Data Acquisition and Advanced Computing Systems:Technology and Applications[C].Dortmund, 2007.647-651.

[18] CVE-2008-4250[EB/OL].http://www.cve.mitre.org/cgi-bin/cvename.cgi?name =CVE-2008- 4250.