云計(jì)算思維模式的電子證據(jù)取證關(guān)鍵技術(shù)分析

閆衛(wèi)剛

摘要：云計(jì)算業(yè)務(wù)的不斷增長(zhǎng)，增加了云計(jì)算或直接以云為目標(biāo)的網(wǎng)絡(luò)犯罪數(shù)量。現(xiàn)階段，云取證在技術(shù)與法律層面的進(jìn)展還不多。對(duì)于取證人員而言，新興的網(wǎng)絡(luò)犯罪是_項(xiàng)重大的挑戰(zhàn)。文章以云計(jì)算安全風(fēng)險(xiǎn)與傳統(tǒng)的電子取證技術(shù)為切入點(diǎn)，對(duì)云計(jì)算思維模式下的電子取證關(guān)鍵技術(shù)進(jìn)行分析，以期為取證人員對(duì)涉云網(wǎng)絡(luò)犯罪的調(diào)查工作提供參考。

關(guān)鍵詞：云計(jì)算；網(wǎng)絡(luò)犯罪；電子取證；云取證

作為新一代IT服務(wù)模式，云計(jì)算對(duì)眾多領(lǐng)域的變革、重組以及整合產(chǎn)生加速作用，這對(duì)電子取證領(lǐng)域而言同樣如此。傳統(tǒng)的電子取證技術(shù)具有局限性，在云計(jì)算環(huán)境下，大部分完整數(shù)據(jù)以碎片的形式存儲(chǔ)于不同計(jì)算機(jī)上，若仍對(duì)傳統(tǒng)取證技術(shù)予以采用，只在單機(jī)上不作邏輯地直接取證，很難獲取真實(shí)有效的電子證據(jù)，無(wú)法形成判罪依據(jù)。云計(jì)算技術(shù)的發(fā)展對(duì)大數(shù)據(jù)時(shí)代的來(lái)臨產(chǎn)生促進(jìn)作用，電子證據(jù)的完整獲取與保存、案件的順利偵破，以高效的取證架構(gòu)以及較短的取證周期為支撐，進(jìn)行云計(jì)算思維模式下電子取證關(guān)鍵技術(shù)的分析具有顯著的現(xiàn)實(shí)意義。

1.云計(jì)算安全風(fēng)險(xiǎn)

云計(jì)算是一種對(duì)IT資源的使用模式，是對(duì)共享的可配置的計(jì)算資源提供無(wú)所不在的、方便的、隨需的網(wǎng)絡(luò)訪問(wèn)。現(xiàn)階段，軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）是云計(jì)算公認(rèn)的3種服務(wù)模式。基于自身架構(gòu)與特征，云計(jì)算存在著一定的安全缺陷，給予網(wǎng)絡(luò)罪犯可乘之機(jī)。

1.1云計(jì)算安全問(wèn)題

云計(jì)算的升溫凸顯了其所帶來(lái)的安全問(wèn)題，與傳統(tǒng)架構(gòu)相比，云計(jì)算的安全問(wèn)題主要包括數(shù)據(jù)分離與恢復(fù)、敏感信息存取、隱私問(wèn)題、漏洞利用以及惡意內(nèi)部攻擊等。在創(chuàng)造大量利益的同時(shí)，云計(jì)算還為用戶帶來(lái)了很多不容忽視的風(fēng)險(xiǎn)。在企業(yè)與用戶關(guān)心的云計(jì)算問(wèn)題中，安全問(wèn)題所占比例最大，接近于80%。

1.2云計(jì)算相關(guān)的網(wǎng)絡(luò)犯罪

基于云計(jì)算的優(yōu)點(diǎn)，很多用戶都將其業(yè)務(wù)遷至云上，基于此，網(wǎng)絡(luò)罪犯也陸續(xù)將目光放于云計(jì)算的弱點(diǎn)之上。TrendMicro的安全報(bào)告指出，云計(jì)算與虛擬技術(shù)在為用戶創(chuàng)造便利、節(jié)省成本的同時(shí)，其將服務(wù)器遷至傳統(tǒng)信息安全邊界之外的行為又造成了網(wǎng)絡(luò)犯罪選擇范圍的擴(kuò)大。

近年來(lái)，云端服務(wù)器失效現(xiàn)象時(shí)有發(fā)生，云服務(wù)由此受到大規(guī)模中斷，業(yè)界開始關(guān)注云計(jì)算存在的相應(yīng)缺陷，認(rèn)為這些缺陷將會(huì)發(fā)展為網(wǎng)絡(luò)罪犯的首要目標(biāo)。Gartner指出，云架構(gòu)的安全風(fēng)險(xiǎn)很大，其自身特征要求用戶評(píng)估數(shù)據(jù)完整、數(shù)據(jù)恢復(fù)、隱私保護(hù)等內(nèi)容，在法律層面，電子證據(jù)取證與審計(jì)等工作需要得到應(yīng)有的重視。

2.電子取證關(guān)鍵技術(shù)

在入侵者犯罪手段與技術(shù)不斷變化的背景之下，電子取證需要更多、更高的技術(shù)。

2.1數(shù)據(jù)復(fù)制技術(shù)

該技術(shù)有數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照以及攝像等。針對(duì)包含視聽資料的證據(jù)，可以在取證過(guò)程中采取拍照與攝像的方式，提高證明力度，預(yù)防翻供現(xiàn)象的發(fā)生。案件發(fā)生以后，利用數(shù)據(jù)鏡像，能夠在另外一臺(tái)主機(jī)上恢復(fù)所備份的數(shù)據(jù)，分析工作在映像上的開展要比在原件上的開展更加具有安全性。

2.2信息加密技術(shù)

對(duì)于信息安全而言，信息加密技術(shù)十分重要，它利用密鑰技術(shù)對(duì)傳輸、交換并存儲(chǔ)于通信網(wǎng)絡(luò)中的信息進(jìn)行保護(hù)，保持其機(jī)密性、完整性與真實(shí)性。作為一種基本技術(shù)，數(shù)據(jù)加密技術(shù)向所有的網(wǎng)絡(luò)通信提供安全保證，它有鏈路加密、節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密以及端對(duì)端加密3種方式。

2.3數(shù)據(jù)復(fù)原技術(shù)

電子證據(jù)復(fù)原是指通過(guò)采用一定的復(fù)原技術(shù)，對(duì)在不同程度上受到損壞的數(shù)據(jù)或者部分不可見區(qū)域中的數(shù)據(jù)進(jìn)行恢復(fù)。很多計(jì)算機(jī)系統(tǒng)都具有自動(dòng)生成備份與恢復(fù)數(shù)據(jù)的功能，一些計(jì)算機(jī)中的安全系統(tǒng)還會(huì)針對(duì)性地對(duì)部分重要數(shù)據(jù)庫(kù)做出專門備份的準(zhǔn)備。系統(tǒng)的組成通常分為專門設(shè)備與專門操作管理，篡改系數(shù)比較大。所以，當(dāng)出現(xiàn)計(jì)算機(jī)犯罪，相關(guān)證據(jù)遭到修改與破壞之時(shí)，可對(duì)自動(dòng)備份數(shù)據(jù)與已經(jīng)過(guò)處理的數(shù)據(jù)證據(jù)進(jìn)行比較，以此對(duì)數(shù)據(jù)施以可靠度最高的恢復(fù)，為定案提供真實(shí)證據(jù)。

2.4數(shù)據(jù)截取技術(shù)

偵查員在罪犯進(jìn)行計(jì)算機(jī)犯罪的過(guò)程中，可對(duì)此項(xiàng)技術(shù)加以利用，以此截獲相應(yīng)的犯罪證據(jù)。數(shù)據(jù)的截取依賴于傳輸介質(zhì)，數(shù)據(jù)在傳輸過(guò)程中有有線數(shù)據(jù)傳輸與無(wú)線數(shù)據(jù)傳輸兩種劃分。在有線傳輸中，截取技術(shù)采用的是網(wǎng)絡(luò)監(jiān)聽的方式，該方式需要對(duì)主機(jī)網(wǎng)卡進(jìn)行混雜模式的設(shè)置，使主機(jī)接受對(duì)應(yīng)網(wǎng)段內(nèi)統(tǒng)一物理通道所傳輸?shù)娜啃畔ⅲ源藢?duì)通信過(guò)程中的主要信息予以截取，Sniffer與TCP Dump為該傳輸方式的兩種常用工具。在無(wú)線傳輸中，信息的截取是通過(guò)電磁波實(shí)現(xiàn)的。所截取的信息能夠提供證據(jù)于犯罪行為與類型等的分析。

2.5數(shù)據(jù)欺騙技術(shù)

陷阱與偽裝等是數(shù)據(jù)欺騙所采取的主要方式。通過(guò)對(duì)虛擬系統(tǒng)、服務(wù)或環(huán)境的構(gòu)造，罪犯能夠誘騙攻擊者向其發(fā)起進(jìn)攻。該技術(shù)在網(wǎng)絡(luò)攻擊中證據(jù)的獲取上有著較為廣泛的應(yīng)用，在攻擊者不知情的情況下，取證系統(tǒng)可通過(guò)潛伏對(duì)其完整的攻擊流程、方式等進(jìn)行記錄，以此獲取證據(jù)信息，證明攻擊與入侵等行為發(fā)生的真實(shí)性。蜜罐與密網(wǎng)是使用率較高的陷阱工具。

2.6惡意代碼技術(shù)

為了對(duì)取證過(guò)程中交互性導(dǎo)致的干擾問(wèn)題予以避免，需對(duì)應(yīng)用惡意代碼技術(shù)進(jìn)行隱秘取證的方法進(jìn)行研究。惡意代碼具有破壞或擾亂系統(tǒng)特定功能的作用，它具有長(zhǎng)期潛伏性，能夠?qū)γ舾行畔⑦M(jìn)行秘密的竊取。在網(wǎng)絡(luò)通信中，惡意代碼技術(shù)能夠?qū)崿F(xiàn)全程隱藏導(dǎo)入以及遠(yuǎn)程信息傳送與控制，快速反應(yīng)、動(dòng)態(tài)取證是其突出的特征體現(xiàn)。

2.7人工智能與數(shù)據(jù)挖掘技術(shù)

網(wǎng)絡(luò)傳輸速度與計(jì)算機(jī)存儲(chǔ)容量成正比，針對(duì)存儲(chǔ)于計(jì)算機(jī)內(nèi)的與在網(wǎng)絡(luò)中傳輸?shù)拇罅繑?shù)據(jù)，可應(yīng)用人工智能與數(shù)據(jù)挖掘技術(shù)搜集相關(guān)于特定犯罪的證據(jù)，對(duì)智能化取證予以實(shí)現(xiàn)。人工智能技術(shù)以開發(fā)專家系統(tǒng)為核心，其優(yōu)勢(shì)在于能夠提高系統(tǒng)標(biāo)識(shí)、預(yù)測(cè)正常類型與異常類型數(shù)據(jù)新特征的能力，對(duì)部分未知的數(shù)據(jù)是否能夠構(gòu)成犯罪證據(jù)進(jìn)行預(yù)測(cè)，實(shí)現(xiàn)數(shù)據(jù)分析智能性的提升。數(shù)據(jù)挖掘分為關(guān)聯(lián)規(guī)則分析、分類與聯(lián)系分析等技術(shù)，利用這些技術(shù)，可以在網(wǎng)絡(luò)動(dòng)態(tài)取證數(shù)據(jù)分析環(huán)節(jié)對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行特征挖掘，生成用戶行為合法性的判斷規(guī)則，以準(zhǔn)確、有效、動(dòng)態(tài)地挖掘犯罪行為證據(jù)。

3.云計(jì)算思維模式下的新型電子取證技術(shù)

為了解決取證不完整、不充分等問(wèn)題，文章提出適合于云計(jì)算環(huán)境的新型電子取證技術(shù)，將其融入云計(jì)算模式下的電子取證流程中，并在流程中對(duì)Hadoop架構(gòu)下Mahout數(shù)據(jù)挖掘技術(shù)予以運(yùn)用，實(shí)現(xiàn)對(duì)證據(jù)有用性不足、深度不夠等問(wèn)題的解決。

3.1技術(shù)流程

（1）明確取證目的與范圍。取證目的的明確要求對(duì)歷次取證的目標(biāo)與意義進(jìn)行把握，向最終所獲取的證據(jù)的真實(shí)性、合法性與關(guān)聯(lián)性提供保證，使其能夠得到法院訴訟審查的接納，并在質(zhì)證環(huán)節(jié)被采信，此外，對(duì)取證環(huán)節(jié)的消極性與被動(dòng)性加以避免。取證范圍的明確要求取證過(guò)程所采取的證據(jù)關(guān)聯(lián)于所發(fā)生的案件，對(duì)由于采取不到電子證據(jù)而導(dǎo)致的案件偵破時(shí)間浪費(fèi)現(xiàn)象予以避免。

（2）明確取證數(shù)據(jù)來(lái)源。在云計(jì)算環(huán)境下，電子取證數(shù)據(jù)有多方面的來(lái)源，它們既有來(lái)源于大規(guī)模云計(jì)算中心的數(shù)據(jù)，又有來(lái)源于云服務(wù)商的數(shù)據(jù)，還有來(lái)源于客戶端的數(shù)據(jù)。來(lái)源不同的數(shù)據(jù)會(huì)涉及不同的取證對(duì)象，其中大型云存儲(chǔ)器是對(duì)應(yīng)于云數(shù)據(jù)中心的取證對(duì)象，規(guī)模相對(duì)較小的存儲(chǔ)器是對(duì)應(yīng)于云服務(wù)器提供商的取證對(duì)象，而客戶機(jī)的內(nèi)存、緩存與文件等，則是與客戶端相對(duì)應(yīng)的取證對(duì)象。取整數(shù)據(jù)來(lái)源的盡早明確能夠?qū)θ∽C范圍予以縮小，實(shí)現(xiàn)對(duì)取證速度的加快。

（3）實(shí)際取證階段。在云計(jì)算思維模式下，利用取證軟件進(jìn)行證據(jù)的獲取能夠?qū)ψC據(jù)可靠性、完整性與充分性提供保證，它是對(duì)傳統(tǒng)電子取證技術(shù)的突破，能夠?qū)鹘y(tǒng)技術(shù)在云計(jì)算環(huán)境下的取證缺陷予以彌補(bǔ)。

（4）證據(jù)信息處理階段。云計(jì)算環(huán)境中的電子數(shù)據(jù)數(shù)量十分龐大，能夠?yàn)槿∽C過(guò)程提供大量證據(jù)信息。但是，這些證據(jù)存在冗余現(xiàn)象，若不采取有效措施進(jìn)行處理，會(huì)降低證據(jù)的深度與有用程度。針對(duì)于此，可以對(duì)Hadoop架構(gòu)中的Mahout予以采用，對(duì)有用的電子證據(jù)進(jìn)行挖掘與處理。

（5）證據(jù)信息分析階段。從上一步中的證據(jù)信息中進(jìn)行涉案痕跡與違法證據(jù)的查找，有利于案件的順利偵破。

3.2技術(shù)架構(gòu)

云計(jì)算思維模式下電子證據(jù)取證技術(shù)架構(gòu)可劃分為5個(gè)層次。其中，最底層為硬件資源池層，主要對(duì)CPU、內(nèi)存、存儲(chǔ)器、網(wǎng)絡(luò)設(shè)備以及帶寬等資源予以涵蓋，它能夠提供底層硬件支持于技術(shù)的實(shí)施，是技術(shù)架構(gòu)的基礎(chǔ)設(shè)施層；往上一層是虛擬軟件層，通過(guò)利用虛擬化軟件，對(duì)底層硬件資源池進(jìn)行虛擬處理，使其具有多層邏輯；再往上一層是虛擬機(jī)層，它與實(shí)體機(jī)有著相似的作用，唯一的不同在于資源的使用方式；在虛擬機(jī)層之上，為Hadoop分布式云計(jì)算平臺(tái)，作為云取證系統(tǒng)的核心，該層利用MapReduce并行編程模型與HDFS分布式存儲(chǔ)模塊共同實(shí)現(xiàn)高速、實(shí)時(shí)且可靠的電子取證，在取證完成之后，還能夠?qū)θ哂嘈畔⑦M(jìn)行分析與處理，以提供清晰證據(jù)于取證人員；最上層是電子取證客戶端，主要用于證據(jù)信息的收集與顯示。