云計算思維模式的電子證據(jù)取證關(guān)鍵技術(shù)分析

閆衛(wèi)剛

摘要：云計算業(yè)務(wù)的不斷增長，增加了云計算或直接以云為目標(biāo)的網(wǎng)絡(luò)犯罪數(shù)量。現(xiàn)階段，云取證在技術(shù)與法律層面的進展還不多。對于取證人員而言，新興的網(wǎng)絡(luò)犯罪是_項重大的挑戰(zhàn)。文章以云計算安全風(fēng)險與傳統(tǒng)的電子取證技術(shù)為切入點，對云計算思維模式下的電子取證關(guān)鍵技術(shù)進行分析，以期為取證人員對涉云網(wǎng)絡(luò)犯罪的調(diào)查工作提供參考。

關(guān)鍵詞：云計算；網(wǎng)絡(luò)犯罪；電子取證；云取證

作為新一代IT服務(wù)模式，云計算對眾多領(lǐng)域的變革、重組以及整合產(chǎn)生加速作用，這對電子取證領(lǐng)域而言同樣如此。傳統(tǒng)的電子取證技術(shù)具有局限性，在云計算環(huán)境下，大部分完整數(shù)據(jù)以碎片的形式存儲于不同計算機上，若仍對傳統(tǒng)取證技術(shù)予以采用，只在單機上不作邏輯地直接取證，很難獲取真實有效的電子證據(jù)，無法形成判罪依據(jù)。云計算技術(shù)的發(fā)展對大數(shù)據(jù)時代的來臨產(chǎn)生促進作用，電子證據(jù)的完整獲取與保存、案件的順利偵破，以高效的取證架構(gòu)以及較短的取證周期為支撐，進行云計算思維模式下電子取證關(guān)鍵技術(shù)的分析具有顯著的現(xiàn)實意義。

1.云計算安全風(fēng)險

云計算是一種對IT資源的使用模式，是對共享的可配置的計算資源提供無所不在的、方便的、隨需的網(wǎng)絡(luò)訪問。現(xiàn)階段，軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）是云計算公認的3種服務(wù)模式。基于自身架構(gòu)與特征，云計算存在著一定的安全缺陷，給予網(wǎng)絡(luò)罪犯可乘之機。

1.1云計算安全問題

云計算的升溫凸顯了其所帶來的安全問題，與傳統(tǒng)架構(gòu)相比，云計算的安全問題主要包括數(shù)據(jù)分離與恢復(fù)、敏感信息存取、隱私問題、漏洞利用以及惡意內(nèi)部攻擊等。在創(chuàng)造大量利益的同時，云計算還為用戶帶來了很多不容忽視的風(fēng)險。在企業(yè)與用戶關(guān)心的云計算問題中，安全問題所占比例最大，接近于80%。

1.2云計算相關(guān)的網(wǎng)絡(luò)犯罪

基于云計算的優(yōu)點，很多用戶都將其業(yè)務(wù)遷至云上，基于此，網(wǎng)絡(luò)罪犯也陸續(xù)將目光放于云計算的弱點之上。TrendMicro的安全報告指出，云計算與虛擬技術(shù)在為用戶創(chuàng)造便利、節(jié)省成本的同時，其將服務(wù)器遷至傳統(tǒng)信息安全邊界之外的行為又造成了網(wǎng)絡(luò)犯罪選擇范圍的擴大。

近年來，云端服務(wù)器失效現(xiàn)象時有發(fā)生，云服務(wù)由此受到大規(guī)模中斷，業(yè)界開始關(guān)注云計算存在的相應(yīng)缺陷，認為這些缺陷將會發(fā)展為網(wǎng)絡(luò)罪犯的首要目標(biāo)。Gartner指出，云架構(gòu)的安全風(fēng)險很大，其自身特征要求用戶評估數(shù)據(jù)完整、數(shù)據(jù)恢復(fù)、隱私保護等內(nèi)容，在法律層面，電子證據(jù)取證與審計等工作需要得到應(yīng)有的重視。

2.電子取證關(guān)鍵技術(shù)

在入侵者犯罪手段與技術(shù)不斷變化的背景之下，電子取證需要更多、更高的技術(shù)。

2.1數(shù)據(jù)復(fù)制技術(shù)

該技術(shù)有數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照以及攝像等。針對包含視聽資料的證據(jù)，可以在取證過程中采取拍照與攝像的方式，提高證明力度，預(yù)防翻供現(xiàn)象的發(fā)生。案件發(fā)生以后，利用數(shù)據(jù)鏡像，能夠在另外一臺主機上恢復(fù)所備份的數(shù)據(jù)，分析工作在映像上的開展要比在原件上的開展更加具有安全性。

2.2信息加密技術(shù)

對于信息安全而言，信息加密技術(shù)十分重要，它利用密鑰技術(shù)對傳輸、交換并存儲于通信網(wǎng)絡(luò)中的信息進行保護，保持其機密性、完整性與真實性。作為一種基本技術(shù)，數(shù)據(jù)加密技術(shù)向所有的網(wǎng)絡(luò)通信提供安全保證，它有鏈路加密、節(jié)點對節(jié)點加密以及端對端加密3種方式。

2.3數(shù)據(jù)復(fù)原技術(shù)

電子證據(jù)復(fù)原是指通過采用一定的復(fù)原技術(shù)，對在不同程度上受到損壞的數(shù)據(jù)或者部分不可見區(qū)域中的數(shù)據(jù)進行恢復(fù)。很多計算機系統(tǒng)都具有自動生成備份與恢復(fù)數(shù)據(jù)的功能，一些計算機中的安全系統(tǒng)還會針對性地對部分重要數(shù)據(jù)庫做出專門備份的準(zhǔn)備。系統(tǒng)的組成通常分為專門設(shè)備與專門操作管理，篡改系數(shù)比較大。所以，當(dāng)出現(xiàn)計算機犯罪，相關(guān)證據(jù)遭到修改與破壞之時，可對自動備份數(shù)據(jù)與已經(jīng)過處理的數(shù)據(jù)證據(jù)進行比較，以此對數(shù)據(jù)施以可靠度最高的恢復(fù)，為定案提供真實證據(jù)。

2.4數(shù)據(jù)截取技術(shù)

偵查員在罪犯進行計算機犯罪的過程中，可對此項技術(shù)加以利用，以此截獲相應(yīng)的犯罪證據(jù)。數(shù)據(jù)的截取依賴于傳輸介質(zhì)，數(shù)據(jù)在傳輸過程中有有線數(shù)據(jù)傳輸與無線數(shù)據(jù)傳輸兩種劃分。在有線傳輸中，截取技術(shù)采用的是網(wǎng)絡(luò)監(jiān)聽的方式，該方式需要對主機網(wǎng)卡進行混雜模式的設(shè)置，使主機接受對應(yīng)網(wǎng)段內(nèi)統(tǒng)一物理通道所傳輸?shù)娜啃畔ⅲ源藢νㄐ胚^程中的主要信息予以截取，Sniffer與TCP Dump為該傳輸方式的兩種常用工具。在無線傳輸中，信息的截取是通過電磁波實現(xiàn)的。所截取的信息能夠提供證據(jù)于犯罪行為與類型等的分析。

2.5數(shù)據(jù)欺騙技術(shù)

陷阱與偽裝等是數(shù)據(jù)欺騙所采取的主要方式。通過對虛擬系統(tǒng)、服務(wù)或環(huán)境的構(gòu)造，罪犯能夠誘騙攻擊者向其發(fā)起進攻。該技術(shù)在網(wǎng)絡(luò)攻擊中證據(jù)的獲取上有著較為廣泛的應(yīng)用，在攻擊者不知情的情況下，取證系統(tǒng)可通過潛伏對其完整的攻擊流程、方式等進行記錄，以此獲取證據(jù)信息，證明攻擊與入侵等行為發(fā)生的真實性。蜜罐與密網(wǎng)是使用率較高的陷阱工具。

2.6惡意代碼技術(shù)

為了對取證過程中交互性導(dǎo)致的干擾問題予以避免，需對應(yīng)用惡意代碼技術(shù)進行隱秘取證的方法進行研究。惡意代碼具有破壞或擾亂系統(tǒng)特定功能的作用，它具有長期潛伏性，能夠?qū)γ舾行畔⑦M行秘密的竊取。在網(wǎng)絡(luò)通信中，惡意代碼技術(shù)能夠?qū)崿F(xiàn)全程隱藏導(dǎo)入以及遠程信息傳送與控制，快速反應(yīng)、動態(tài)取證是其突出的特征體現(xiàn)。

2.7人工智能與數(shù)據(jù)挖掘技術(shù)

網(wǎng)絡(luò)傳輸速度與計算機存儲容量成正比，針對存儲于計算機內(nèi)的與在網(wǎng)絡(luò)中傳輸?shù)拇罅繑?shù)據(jù)，可應(yīng)用人工智能與數(shù)據(jù)挖掘技術(shù)搜集相關(guān)于特定犯罪的證據(jù)，對智能化取證予以實現(xiàn)。人工智能技術(shù)以開發(fā)專家系統(tǒng)為核心，其優(yōu)勢在于能夠提高系統(tǒng)標(biāo)識、預(yù)測正常類型與異常類型數(shù)據(jù)新特征的能力，對部分未知的數(shù)據(jù)是否能夠構(gòu)成犯罪證據(jù)進行預(yù)測，實現(xiàn)數(shù)據(jù)分析智能性的提升。數(shù)據(jù)挖掘分為關(guān)聯(lián)規(guī)則分析、分類與聯(lián)系分析等技術(shù)，利用這些技術(shù)，可以在網(wǎng)絡(luò)動態(tài)取證數(shù)據(jù)分析環(huán)節(jié)對數(shù)據(jù)庫中的數(shù)據(jù)進行特征挖掘，生成用戶行為合法性的判斷規(guī)則，以準(zhǔn)確、有效、動態(tài)地挖掘犯罪行為證據(jù)。

3.云計算思維模式下的新型電子取證技術(shù)

為了解決取證不完整、不充分等問題，文章提出適合于云計算環(huán)境的新型電子取證技術(shù)，將其融入云計算模式下的電子取證流程中，并在流程中對Hadoop架構(gòu)下Mahout數(shù)據(jù)挖掘技術(shù)予以運用，實現(xiàn)對證據(jù)有用性不足、深度不夠等問題的解決。

3.1技術(shù)流程

（1）明確取證目的與范圍。取證目的的明確要求對歷次取證的目標(biāo)與意義進行把握，向最終所獲取的證據(jù)的真實性、合法性與關(guān)聯(lián)性提供保證，使其能夠得到法院訴訟審查的接納，并在質(zhì)證環(huán)節(jié)被采信，此外，對取證環(huán)節(jié)的消極性與被動性加以避免。取證范圍的明確要求取證過程所采取的證據(jù)關(guān)聯(lián)于所發(fā)生的案件，對由于采取不到電子證據(jù)而導(dǎo)致的案件偵破時間浪費現(xiàn)象予以避免。

（2）明確取證數(shù)據(jù)來源。在云計算環(huán)境下，電子取證數(shù)據(jù)有多方面的來源，它們既有來源于大規(guī)模云計算中心的數(shù)據(jù)，又有來源于云服務(wù)商的數(shù)據(jù)，還有來源于客戶端的數(shù)據(jù)。來源不同的數(shù)據(jù)會涉及不同的取證對象，其中大型云存儲器是對應(yīng)于云數(shù)據(jù)中心的取證對象，規(guī)模相對較小的存儲器是對應(yīng)于云服務(wù)器提供商的取證對象，而客戶機的內(nèi)存、緩存與文件等，則是與客戶端相對應(yīng)的取證對象。取整數(shù)據(jù)來源的盡早明確能夠?qū)θ∽C范圍予以縮小，實現(xiàn)對取證速度的加快。

（3）實際取證階段。在云計算思維模式下，利用取證軟件進行證據(jù)的獲取能夠?qū)ψC據(jù)可靠性、完整性與充分性提供保證，它是對傳統(tǒng)電子取證技術(shù)的突破，能夠?qū)鹘y(tǒng)技術(shù)在云計算環(huán)境下的取證缺陷予以彌補。

（4）證據(jù)信息處理階段。云計算環(huán)境中的電子數(shù)據(jù)數(shù)量十分龐大，能夠為取證過程提供大量證據(jù)信息。但是，這些證據(jù)存在冗余現(xiàn)象，若不采取有效措施進行處理，會降低證據(jù)的深度與有用程度。針對于此，可以對Hadoop架構(gòu)中的Mahout予以采用，對有用的電子證據(jù)進行挖掘與處理。

（5）證據(jù)信息分析階段。從上一步中的證據(jù)信息中進行涉案痕跡與違法證據(jù)的查找，有利于案件的順利偵破。

3.2技術(shù)架構(gòu)

云計算思維模式下電子證據(jù)取證技術(shù)架構(gòu)可劃分為5個層次。其中，最底層為硬件資源池層，主要對CPU、內(nèi)存、存儲器、網(wǎng)絡(luò)設(shè)備以及帶寬等資源予以涵蓋，它能夠提供底層硬件支持于技術(shù)的實施，是技術(shù)架構(gòu)的基礎(chǔ)設(shè)施層；往上一層是虛擬軟件層，通過利用虛擬化軟件，對底層硬件資源池進行虛擬處理，使其具有多層邏輯；再往上一層是虛擬機層，它與實體機有著相似的作用，唯一的不同在于資源的使用方式；在虛擬機層之上，為Hadoop分布式云計算平臺，作為云取證系統(tǒng)的核心，該層利用MapReduce并行編程模型與HDFS分布式存儲模塊共同實現(xiàn)高速、實時且可靠的電子取證，在取證完成之后，還能夠?qū)θ哂嘈畔⑦M行分析與處理，以提供清晰證據(jù)于取證人員；最上層是電子取證客戶端，主要用于證據(jù)信息的收集與顯示。