云計算思維模式的電子證據取證關鍵技術分析

閆衛剛

摘要：云計算業務的不斷增長，增加了云計算或直接以云為目標的網絡犯罪數量?，F階段，云取證在技術與法律層面的進展還不多。對于取證人員而言，新興的網絡犯罪是_項重大的挑戰。文章以云計算安全風險與傳統的電子取證技術為切入點，對云計算思維模式下的電子取證關鍵技術進行分析，以期為取證人員對涉云網絡犯罪的調查工作提供參考。

關鍵詞：云計算；網絡犯罪；電子取證；云取證

作為新一代IT服務模式，云計算對眾多領域的變革、重組以及整合產生加速作用，這對電子取證領域而言同樣如此。傳統的電子取證技術具有局限性，在云計算環境下，大部分完整數據以碎片的形式存儲于不同計算機上，若仍對傳統取證技術予以采用，只在單機上不作邏輯地直接取證，很難獲取真實有效的電子證據，無法形成判罪依據。云計算技術的發展對大數據時代的來臨產生促進作用，電子證據的完整獲取與保存、案件的順利偵破，以高效的取證架構以及較短的取證周期為支撐，進行云計算思維模式下電子取證關鍵技術的分析具有顯著的現實意義。

1.云計算安全風險

云計算是一種對IT資源的使用模式，是對共享的可配置的計算資源提供無所不在的、方便的、隨需的網絡訪問?，F階段，軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）是云計算公認的3種服務模式?；谧陨砑軜嬇c特征，云計算存在著一定的安全缺陷，給予網絡罪犯可乘之機。

1.1云計算安全問題

云計算的升溫凸顯了其所帶來的安全問題，與傳統架構相比，云計算的安全問題主要包括數據分離與恢復、敏感信息存取、隱私問題、漏洞利用以及惡意內部攻擊等。在創造大量利益的同時，云計算還為用戶帶來了很多不容忽視的風險。在企業與用戶關心的云計算問題中，安全問題所占比例最大，接近于80%。

1.2云計算相關的網絡犯罪

基于云計算的優點，很多用戶都將其業務遷至云上，基于此，網絡罪犯也陸續將目光放于云計算的弱點之上。TrendMicro的安全報告指出，云計算與虛擬技術在為用戶創造便利、節省成本的同時，其將服務器遷至傳統信息安全邊界之外的行為又造成了網絡犯罪選擇范圍的擴大。

近年來，云端服務器失效現象時有發生，云服務由此受到大規模中斷，業界開始關注云計算存在的相應缺陷，認為這些缺陷將會發展為網絡罪犯的首要目標。Gartner指出，云架構的安全風險很大，其自身特征要求用戶評估數據完整、數據恢復、隱私保護等內容，在法律層面，電子證據取證與審計等工作需要得到應有的重視。

2.電子取證關鍵技術

在入侵者犯罪手段與技術不斷變化的背景之下，電子取證需要更多、更高的技術。

2.1數據復制技術

該技術有數據備份、數據鏡像、拍照以及攝像等。針對包含視聽資料的證據，可以在取證過程中采取拍照與攝像的方式，提高證明力度，預防翻供現象的發生。案件發生以后，利用數據鏡像，能夠在另外一臺主機上恢復所備份的數據，分析工作在映像上的開展要比在原件上的開展更加具有安全性。

2.2信息加密技術

對于信息安全而言，信息加密技術十分重要，它利用密鑰技術對傳輸、交換并存儲于通信網絡中的信息進行保護，保持其機密性、完整性與真實性。作為一種基本技術，數據加密技術向所有的網絡通信提供安全保證，它有鏈路加密、節點對節點加密以及端對端加密3種方式。

2.3數據復原技術

電子證據復原是指通過采用一定的復原技術，對在不同程度上受到損壞的數據或者部分不可見區域中的數據進行恢復。很多計算機系統都具有自動生成備份與恢復數據的功能，一些計算機中的安全系統還會針對性地對部分重要數據庫做出專門備份的準備。系統的組成通常分為專門設備與專門操作管理，篡改系數比較大。所以，當出現計算機犯罪，相關證據遭到修改與破壞之時，可對自動備份數據與已經過處理的數據證據進行比較，以此對數據施以可靠度最高的恢復，為定案提供真實證據。

2.4數據截取技術

偵查員在罪犯進行計算機犯罪的過程中，可對此項技術加以利用，以此截獲相應的犯罪證據。數據的截取依賴于傳輸介質，數據在傳輸過程中有有線數據傳輸與無線數據傳輸兩種劃分。在有線傳輸中，截取技術采用的是網絡監聽的方式，該方式需要對主機網卡進行混雜模式的設置，使主機接受對應網段內統一物理通道所傳輸的全部信息，以此對通信過程中的主要信息予以截取，Sniffer與TCP Dump為該傳輸方式的兩種常用工具。在無線傳輸中，信息的截取是通過電磁波實現的。所截取的信息能夠提供證據于犯罪行為與類型等的分析。

2.5數據欺騙技術

陷阱與偽裝等是數據欺騙所采取的主要方式。通過對虛擬系統、服務或環境的構造，罪犯能夠誘騙攻擊者向其發起進攻。該技術在網絡攻擊中證據的獲取上有著較為廣泛的應用，在攻擊者不知情的情況下，取證系統可通過潛伏對其完整的攻擊流程、方式等進行記錄，以此獲取證據信息，證明攻擊與入侵等行為發生的真實性。蜜罐與密網是使用率較高的陷阱工具。

2.6惡意代碼技術

為了對取證過程中交互性導致的干擾問題予以避免，需對應用惡意代碼技術進行隱秘取證的方法進行研究。惡意代碼具有破壞或擾亂系統特定功能的作用，它具有長期潛伏性，能夠對敏感信息進行秘密的竊取。在網絡通信中，惡意代碼技術能夠實現全程隱藏導入以及遠程信息傳送與控制，快速反應、動態取證是其突出的特征體現。

2.7人工智能與數據挖掘技術

網絡傳輸速度與計算機存儲容量成正比，針對存儲于計算機內的與在網絡中傳輸的大量數據，可應用人工智能與數據挖掘技術搜集相關于特定犯罪的證據，對智能化取證予以實現。人工智能技術以開發專家系統為核心，其優勢在于能夠提高系統標識、預測正常類型與異常類型數據新特征的能力，對部分未知的數據是否能夠構成犯罪證據進行預測，實現數據分析智能性的提升。數據挖掘分為關聯規則分析、分類與聯系分析等技術，利用這些技術，可以在網絡動態取證數據分析環節對數據庫中的數據進行特征挖掘，生成用戶行為合法性的判斷規則，以準確、有效、動態地挖掘犯罪行為證據。

3.云計算思維模式下的新型電子取證技術

為了解決取證不完整、不充分等問題，文章提出適合于云計算環境的新型電子取證技術，將其融入云計算模式下的電子取證流程中，并在流程中對Hadoop架構下Mahout數據挖掘技術予以運用，實現對證據有用性不足、深度不夠等問題的解決。

3.1技術流程

（1）明確取證目的與范圍。取證目的的明確要求對歷次取證的目標與意義進行把握，向最終所獲取的證據的真實性、合法性與關聯性提供保證，使其能夠得到法院訴訟審查的接納，并在質證環節被采信，此外，對取證環節的消極性與被動性加以避免。取證范圍的明確要求取證過程所采取的證據關聯于所發生的案件，對由于采取不到電子證據而導致的案件偵破時間浪費現象予以避免。

（2）明確取證數據來源。在云計算環境下，電子取證數據有多方面的來源，它們既有來源于大規模云計算中心的數據，又有來源于云服務商的數據，還有來源于客戶端的數據。來源不同的數據會涉及不同的取證對象，其中大型云存儲器是對應于云數據中心的取證對象，規模相對較小的存儲器是對應于云服務器提供商的取證對象，而客戶機的內存、緩存與文件等，則是與客戶端相對應的取證對象。取整數據來源的盡早明確能夠對取證范圍予以縮小，實現對取證速度的加快。

（3）實際取證階段。在云計算思維模式下，利用取證軟件進行證據的獲取能夠對證據可靠性、完整性與充分性提供保證，它是對傳統電子取證技術的突破，能夠對傳統技術在云計算環境下的取證缺陷予以彌補。

（4）證據信息處理階段。云計算環境中的電子數據數量十分龐大，能夠為取證過程提供大量證據信息。但是，這些證據存在冗余現象，若不采取有效措施進行處理，會降低證據的深度與有用程度。針對于此，可以對Hadoop架構中的Mahout予以采用，對有用的電子證據進行挖掘與處理。

（5）證據信息分析階段。從上一步中的證據信息中進行涉案痕跡與違法證據的查找，有利于案件的順利偵破。

3.2技術架構

云計算思維模式下電子證據取證技術架構可劃分為5個層次。其中，最底層為硬件資源池層，主要對CPU、內存、存儲器、網絡設備以及帶寬等資源予以涵蓋，它能夠提供底層硬件支持于技術的實施，是技術架構的基礎設施層；往上一層是虛擬軟件層，通過利用虛擬化軟件，對底層硬件資源池進行虛擬處理，使其具有多層邏輯；再往上一層是虛擬機層，它與實體機有著相似的作用，唯一的不同在于資源的使用方式；在虛擬機層之上，為Hadoop分布式云計算平臺，作為云取證系統的核心，該層利用MapReduce并行編程模型與HDFS分布式存儲模塊共同實現高速、實時且可靠的電子取證，在取證完成之后，還能夠對冗余信息進行分析與處理，以提供清晰證據于取證人員；最上層是電子取證客戶端，主要用于證據信息的收集與顯示。