云環境隱私侵犯取證研究

李維奉，羌衛中，李偉明，鄒德清

?

云環境隱私侵犯取證研究

李維奉，羌衛中，李偉明，鄒德清

（華中科技大學計算機科學與技術學院，湖北 武漢 430074）

云計算是主流的信息系統技術，但是云計算環境下的用戶隱私保護和隱私侵犯追蹤取證一直是一個挑戰。當前主流的云計算取證技術體系和標準并不成熟和完備，距離計算機取證的目標相去甚遠。針對云環境下隱私侵犯取證，首先，給出了云取證和云隱私侵犯的研究現狀和挑戰；其次，著重分析了云環境下隱私取證的研究內容和技術路線；最后，提出了一個具體的面向云環境的隱私侵犯取證系統。

云計算；云取證；云證據分析；隱私侵犯

1 引言

過去三十年來，數字取證在計算機犯罪調查中得到廣泛應用。云計算是一種新的計算模式，可實現普遍存在的、按需的、彈性的網絡訪問，提供可共享、可配置的資源池（如網絡、服務器、存儲、應用程序和服務）。但是，信息系統和數據在云計算平臺上的廣泛部署和存儲給數字取證帶來了特殊的挑戰。

云取證（cloud forensics）是一種嘗試調查和分析云安全威脅的方法。它作為一種威懾方法，可以確保攻擊者更加謹慎，以避免因非法行為被取證，從而減少網絡犯罪，提高云計算系統的安全性。云取證中通過3個來源進行證據提取：客戶端系統、網絡層和云服務提供商的管理服務器。美國國家標準技術研究（NIST, National Institute of Standards and Technology）[1]指出，“云計算取證科學是應用科學原理、技術實踐及其衍生而形成的方法，它通過識別、收集、保存、檢驗和解釋數字證據來重建過去的云計算事件”。云取證是云計算和計算機取證的交叉學科，云環境下存在著多用戶證據混雜、資源可動態配置、虛擬化隔離環境、數據易丟失等特性，使傳統的計算機取證框架、取證工具不再適用。云環境下取證工具應具備更細致的分工、動態性高、隔離環境下可用、具有時間戳的數據物理定位等新的特點[2]。云安全聯盟（CSA，Cloud Security Alliance）[3]于2013年提供了云取證的潛在證據來源清單，其中列出了Web服務器日志、應用服務器日志、數據庫日志、客戶端操作系統日志、主機訪問日志、虛擬化平臺日志、網絡捕獲、計費記錄、管理門戶日志、DNS服務器日志、虛擬機監視器日志、主機操作系統日志和API日志等證據。

本文先調研云計算的取證問題和云環境中隱私侵犯問題，研究云取證和云環境中隱私侵犯問題中存在的挑戰和機遇，提出云環境下隱私侵犯取證的關鍵研究內容和技術路線，致力于解決隱私侵犯行為的精準取證與追蹤，并提出面向云計算環境的追蹤取證系統，支撐云環境下隱私侵犯行為及時發現、聯動追蹤、精準取證。

2 研究現狀和挑戰

2.1 云環境取證

在云取證定義方面，文獻[4]提出：云取證是數字取證科學在云環境中的應用。從技術層面上講，它包括具有遠程、虛擬化、實時、大規模等特點的混合環境下產生數字證據的取證方法；從組織結構層面上講，它涉及云行為者（即云提供商、云消費者、云代理商、云運營商和云審計師等）之間的交互；從法律層面上講，它往往意味著多域和多租戶的場景，涉及多個管轄區的證據獲取。文獻[5]在云取證現有挑戰和問題的基礎上，討論了存儲在云上數據的可訪問性、多個司法管轄區證據的可靠性和所有權、整個調查期間監管鏈的保持等問題。

在云基礎設施取證方面，文獻[6]提出了多層級的云環境取證分析模型，將取證層級分為：云管理級、云平臺級、云應用級和云客戶級。在鑒定、獲取、分析和呈現的傳統取證基礎上，提出了云環境下取證的4個階段：確定潛在的證據來源、保證證據的完整性、分析現場事件的關系，以及合理使用取證的工具。常用取證工具包括EnCase[7]、FTK（forensic toolkit）[8]等，由于云環境存在遠程Web訪問、虛擬化平臺、第三方物理位置獲取、可疑操作確定等新的取證場景，EnCase和FTK等傳統計算機取證工具無法用于執行云環境下所有的取證功能。

對于云環境的各種云服務類型，文獻[9]檢驗現有解決方案的安全性，對基礎設施即服務（IaaS，infrastructure as a service）、平臺即服務（PaaS，platform as a service）和軟件即服務（SaaS，software as a service）的建模方法進行分析，但未詳細討論擴大取證場景后的建模方法。文獻[4]對云取證分析的關鍵標準做了詳細的討論。根據257個數字取證專家和從業人員對云取證基礎問題的回應，得出需要建立廣泛的取證即服務（FaaS，forensics as a service）體系結構的結論。文獻[10]提出一種三層架構的FaaS，并在OpenStack上實現了該模型，該模型支持自動取證分析，并可提供以下服務：1) 取證分析服務；2) 定制化的取證分析，即允許客戶對任何已購買的服務（IaaS、PaaS或SaaS）進行定制的取證分析；3) SaaS模型中的高級取證工具。針對IaaS云方面，文獻[11]提出一種云取證框架，該框架包括在虛擬服務器中的證據抓取器、Xen Hypervisor中的實時取證模塊和一個取證虛擬機。實時取證模塊會收集所有虛擬機的證據信息，證據抓取器會自動抓取所需的信息并發送給取證虛擬機，取證虛擬機對這些信息進行分析和保存。該框架可在Windows及Linux平臺的虛擬機中正常工作，能夠有效且快速地獲取云環境中的證據數據，并保障證據數據的完整性及機密性。文獻[12]提出了一種云環境下現場遷移的取證技術，其將待取證虛擬機實例遷移至本地，并在遷移過程中對虛擬機實例的內存映射、網絡連接等易失性數據進行保全。遷移虛擬機內存在本地加載成功后，再利用傳統的取證工具在本地虛擬機實例中進行取證。

針對云環境中取證工具不易部署，并且取證工具之間缺乏交互等問題，文獻[13]提出了一種基于云環境的高性能證據數據搜索服務，將證據數據進行索引并存儲在Hbase數據庫中，以實現大規模證據數據的高效查詢；文獻[14]提出一個領域特定的云環境來處理大量的取證數據，通過規范取證工具之間的交互接口，并提供創建和定制取證數據處理工作流程的方法，嘗試解決取證工具之間的交互問題。

在云取證的其他方面，文獻[15]設計了一個云環境下的日志記錄模型，通過第三方在云服務端和客戶端構建日志模塊，每次云服務器端動作發生后，同步云服務端和客戶端的日志記錄。該模型在客戶端可以始終維護一份更新的日志，不需要云服務提供商協助調查取證，方便取證者獲得日志。文獻[16]基于VMWare的Vsphere架構，提出了一種Vsphere 私有云電子取證技術框架。該框架通過結合基于虛擬機硬盤的常規取證和基于虛擬機重啟的動態取證，獲得虛擬機的電子證據，并結合現場筆錄生成證據文書。該框架可應用到案件偵查實戰中，獲取的電子證據在現行刑事訴訟法的體系下具有法律效力。文獻[17]設計并實現了一種高效的基于 Hadoop 的分布式取證系統。它通過調度控制服務，將不同的證據介質中的數據存儲到不同的分布式數據存儲服務器上，每個取證任務運行時都可以獨占一個取證介質，從而實現多介質的并行取證分析，很大程度上提高了云環境取證的效率。

2.2 云環境隱私侵犯

在云計算系統中，用戶的隱私數據和業務的私密信息會被云服務提供商存儲和管理，信息的所有權和使用權的分離，會導致信息隱私的泄露。針對傳統隱私問題，已有許多法案和相關技術方案，但對于云環境這種存在于多用戶與多服務提供者的新情景，這些法案和技術方案已變得不再適用。

在隱私保護的相關法案方面，文獻[18]列出了可能無法保護用戶隱私信息的幾種法案。1986年提出的電子通信隱私法（ECPA，Electronic Communications Privacy Act）[19]是為了防止政府訪問存儲在服務提供商的存儲設備中的電子信息，包括電子郵件和其他計算機信息等。然而云計算中應用眾多、交互頻繁、行為難預測，該法案無法準確識別所有行為，所以難以有效地防止云環境中的隱私侵犯行為。公平信用報告法（FCRA, Fair Credit Reporting Act）[20]規定用戶的信用報告被允許的用途，如果債權人向云提供商存儲信用報告，而第三方（其他機構、組織、用戶等）從云提供商處獲取報告，則可能會違反法定使用限制。視頻隱私保護法案（VPPA，Video Privacy Protection Act）[21]限制了客戶數據的披露，如果云提供商的服務條款允許提供商觀看、使用或披露信息，則云提供商的行為可能會導致違法。與隱私有關的法案不僅頒布的時間較早，而且初衷只是保護雙方之間的隱私。所以在云環境中，第三方（其他機構、組織、用戶等）也許能夠更輕易地從云提供商處獲取信息。

在隱私保護相關的技術方面，文獻[22]討論了云環境下的數據隱私的風險和需要遵從的法律。文獻[23]強調需要開發健全的數字身份基礎設施，為云環境下隱私和安全問題的解決提供有力的支撐。文獻[24,25]分析了云環境下現有的隱私問題，提出關于設計隱私保護云服務的全面指導方針，并強調在云服務設計階段把隱私保護考慮進去的重要性。文獻[24]還總結了幾種推薦的隱私保護模式：1) 發送和存儲在云中的客戶個人信息最小化；2) 保護云中敏感的客戶信息；3) 用戶控制最大化；4) 允許用戶選擇；5) 指定和限制數據使用的目的；6) 向客戶提供隱私反饋。

安全外包計算可以較好地處理隱私數據，但依然存在較大的效率問題，其難點主要在于對隱私信息的加密。文獻[26]認為基于完全同態和可驗證加密的純密碼隱私解決方案延遲較高，建議將受信任的硬件令牌與安全功能評估相結合，以便在仍處于加密形式的計算數據上執行任意功能。計算不泄露任何信息且可驗證，該工作的重點是盡量減少計算延遲。文獻[27]研究大規模線性優化問題的外包計算高效驗證問題，結合線性優化問題特性，并利用云端返回的額外驗證結構，實現了對計算結果的高效驗證。在此基礎上，文獻[28]研究了符合一定條件的凸優化外包計算問題的高效驗證問題，該方案將符合特定性質的凸優化驗證問題轉化為線性優化問題，從而達到高效的驗證結構。

對出于隱私安全考慮的云計算架構和模型，文獻[29]介紹了隱私即服務（PaaS，privacy as a service），一種確保云環境中用戶隱私數據不被侵犯的安全協議。為在云計算中提供可靠和隔離的執行環境，該解決方案依賴于安全的加密協處理器，可通過利用密碼管理員的防篡改功能，實現用戶數據的安全存儲和計算，反過來保護用戶數據不被未經授權的訪問。

在云環境隱私侵犯的其他方面，文獻[30]探討云環境下數據索引引起的隱私問題，為解決數據索引導致的信息泄露，提出了一個三層數據保護架構，為云客戶提供不同級別的隱私保護。文獻[31,32]提出了依賴混淆技術的隱私管理器，可以提供模糊和去混淆服務，以減少存儲在云環境中敏感信息的數量。由于該方案客戶端私有數據的加密形式存儲在云端，數據處理直接在加密數據上執行，該方案的一個限制是云供應商可能不愿意為保護隱私而實施其他服務。

2.3 存在的問題與挑戰

云計算是一種主流的信息系統技術，但云環境下的用戶隱私保護和隱私侵犯追蹤取證一直存在著巨大的挑戰。在云環境下，最突出的特征是用戶隱私泄露痕跡易銷毀、虛擬機遷移頻繁、難定位和難溯源，最本質的問題是云平臺虛擬化環境動態性高的特點，最大的問題是虛擬化環境回滾、遷移導致很難保證虛擬機取證數據的時空行為狀態一致性以及虛擬化環境下攻擊行為多元化導致攻擊事件重構困難等。

依據云計算取證和隱私侵犯現狀的調研可以明確，當前主流的云計算環境中取證技術體系和標準體系并不成熟和完備。而典型的互聯網基礎設施僅具備最基礎的賬號、訪問控制體系和非規范化的日志系統，而這些機制的設計初衷也僅是面向資源的使用和業務調試，距離計算機取證的目標相去甚遠。

一方面，云環境隱私保護取證需要可信的取證技術方案來支撐證據的獲取、保存、分析、出示和審計等關鍵環節，該技術方案需要覆蓋敏感云環境下數據全生命周期的各個環節：存儲、傳輸、計算、共享、發布和銷毀；且能夠無縫融入當前主流的云環境中。另一方面，云環境隱私保護取證需要處理的是海量、多維、異構的證據源，因此，同樣需要使用云計算存儲、計算架構和挖掘技術進行智能化、自動化的取證分析。

總體來說，云環境下隱私侵犯取證帶來了新的挑戰，需要從以下幾個方面進行關鍵技術突破：云環境下隱私侵犯線索捕獲；隱私侵犯線索的歸一化融合分析；基于語義分析的隱私侵犯事件識別；分布式虛擬節點隱私數據標記；隱私數據標記的監測自適應覆蓋；隱私數據訪問與計算流轉全流程追蹤。突破以上技術挑戰后，便可形成一整套覆蓋敏感數據處理全流程的分布式、智能化取證方案，支撐研制分布式隱私數據訪問、流轉、計算監控系統，分布式多元證據采集系統，并在當前主流的云計算平臺進行驗證，實現云環境下的證據采集和智能取證分析系統。

3 云環境隱私侵犯取證

3.1 研究內容

根據云環境隱私侵犯取證存在的問題和挑戰，針對云計算的復雜環境，云環境隱私侵犯取證的主要研究內容有以下3個方面（如圖1所示）。

3.1.1 多元隱私侵犯行為歸一化融合分析

基于虛擬機時空行為狀態一致模型。研究虛擬機多內存鏡像比對分析取證技術，提出增量內存鏡像取證方法，通過對增量內存鏡像還原，實現多鏡像比對分析和數據挖掘，還原內存中的攻擊痕跡，解決云計算環境下用戶隱私的竊取具有動態易消失性問題；研究面向取證的虛擬機遷移技術，結合用戶的虛擬機位置隱私策略，實現對虛擬機遷移路徑和遷移環境的取證，解決用戶虛擬機環境遷移導致隱私泄露難定位的問題。研究面向第三方的可信云監控技術，通過對云管理員和用戶及其行為進行準確追蹤和定位，實現云環境下虛擬身份的追蹤和取證，解決用戶隱私竊取的難溯源問題。在多元證據的基礎上研究面向云環境的多維事件重構，將搜集的多種證據重構為隱私侵犯線索。

針對云計算環境下用戶隱私數據分布在多層次、多節點，泄露痕跡易銷毀等問題，基于虛擬機內存連續增量鏡像，結合虛擬機在Host、Guest、network等環境下的多種上下文數據，提出關鍵對象變化連續跟蹤方法、將虛擬機在某段時間內的變化重新還原；具體突破快速增量信息鏡像、關鍵對象在內存鏡像中準確定位和多種數據關聯分析等機制；解決多種數據融合問題，并為多維事件重構提供支撐。

3.1.2 面向虛擬機的隱私侵犯行為檢測與取證

在歸一化融合分析的基礎上，根據隱私侵犯行為線索，進一步降低誤報和漏報實現對隱私侵犯線索的準確捕獲，并結合云環境研究基于語義分析的隱私侵犯事件識別，將多個隱私侵犯線索進行分析得到更高層的隱私侵犯時間。為了克服虛擬機獨有的回滾行為對取證的干擾，通過構建細粒度抗回滾監測取證域，實現對竊密攻擊行為的全生命周期取證，解決虛擬機回滾后取證數據碎片化問題。

針對云計算平臺租戶通過回滾虛擬機銷毀攻擊痕跡問題，制定細粒度的監測數據同步策略，構建輕量級抗回滾監測取證域，解決隱私信息竊取者通過回滾虛擬系統導致的取證記錄碎片化的問題，確保取證時，能準確還原證據數據，保障監測取證軟件不受惡意回滾影響，對竊密攻擊行為的全生命周期取證；解決虛擬機時間狀態一致性問題，為云環境虛擬機時空行為狀態一致性模型提供支撐。

圖1 研究內容示意

3.1.3 云計算處理過程中的隱私竊取取證

云計算環境中數據復雜、異構，數據流轉和計算模型繁多，隱私竊取證據難以完整提取等特點，研究云計算存儲和計算架構中的訪問控制、異構模塊間的互訪特點、計算拓撲的抽象等內容；提出基于三層級的隱私數據取證模型；突破在云計算環境下隱私數據的訪問取證、計算流轉取證、計算語義邏輯取證等關鍵技術；實現云計算環境中隱私數據處理全流程的完整取證。

針對云計算證據多維、海量、異構、不完備等造成的有效關鍵證據難提取、高效取證分析難等問題，提出云計算環境下的多元證據分析模型；突破基于云計算平臺的集群化分析，智能化取證分析和內容抽樣等關鍵技術；實現在云計算環境下對海量、異構證據的自動化、智能化取證分析；解決云計算環境下對隱私數據生命周期全環節的取證問題，并為基于云計算平臺的隱私數據智能化取證分析系統提供支撐。

3.2 技術路線

基于3.1節的3點關鍵研究內容，為突破云環境下隱私侵犯取證困難、分析效率低、隱私侵犯難跟蹤等問題，可以采用如圖2所示的技術路線。

圖2 技術路線示意

證據的采集應包括虛擬機監控和云計算處理框架監控，監控點分布在物理層和虛擬層的多個節點和組件上，通過建立數據通道對證據進行可靠的采集，建立控制通道對證據采集進行控制和反饋，使用采集策略采集（通過分布式的采集代理把多元證據采集）并上報到隱私侵犯線索分析層。

隱私侵犯線索分析層應對云計算環境下的證據，通過時空一致分析、多維事件重構、虛擬身份溯源等技術將采集的數據進一步語義化，從而使多種證據關聯在一起，并對證據采集形成反饋和控制閉環；同時對云環境中采集到的數據采取以下操作。1) 對隱私數據訪問取證。基于隱私數據的定級分類技術與分布式訪問控制技術，實現云計算存儲與計算中涉及隱私數據訪問的細粒度取證；做到對隱私數據的who-when-where- what-how訪問取證。2) 對隱私數據計算流轉取證。在操作1)的基礎上，基于云計算數據流追蹤技術、數據抽樣技術、差分隱私等技術，對云計算分布式計算的全過程中涉及隱私數據的各個環節進行取證；做到對數據源、數據流經各個節點產生的中間結果，以及各類數據輸出中涉及隱私泄露的取證。3) 隱私數據計算語義邏輯取證。在操作1)和操作2)的基礎上，基于云計算語義分析技術，構建頂層云計算運算關系的邏輯拓撲圖，推斷敏感數據在計算過程中的邏輯關系，實現正向/反向隱私數據邏輯走向追蹤取證，云計算語義隱私泄露的取證。

關聯后的證據進一步提交給全流程追蹤層，這個層次針對云計算環境采用虛擬機回滾行為追蹤、虛擬機連續鏡像分析、虛擬機遷移追蹤多維事件重構和時空一致性分析、內容抽樣技術，有針對性地將具有隱私泄露的相關行為提取出來，形成有效的隱私侵犯證據。其中多維事件重構中虛擬機內存連續鏡像比對分析技術，將跟蹤虛擬機內存中的隱私數據，結合虛擬機在Host、Guest、Network等環境下的多種上下文數據，提出關鍵對象變化連續跟蹤方法，檢測隱私侵犯行為。虛擬機回滾行為的取證技術，制定細粒度的監測數據同步策略，構建輕量級抗回滾監測取證域，解決隱私信息竊取者通過回滾虛擬系統導致的取證記錄碎片化的問題，確保取證時，能準確還原證據數據。全流程追蹤層針對云計算處理框架的證據通過進一步的內容抽樣、隱私侵犯行為實時追蹤、智能化精準取證分析。

4 面向云環境的隱私侵犯取證系統

4.1 系統架構

在云環境中存在著利用遷移回滾技術抹去隱私侵犯證據的行為。利用傳統或者一般的方法，很難獲取證據并分析其隱私侵犯行為。為此，本文提出了基于虛擬機時空狀態一致性的面向云環境的隱私侵犯取證系統。該系統合理有效地解決了云環境取證、分析、數據多元化等難點問題，為云環境隱私侵犯提供有效的解決方案。

面向云計算環境的追蹤取證系統整體架構如圖3所示，主要分為3部分。

1) 改造現有的虛擬機監控器（VMM，virtual machine manager），加入可信的云環境監控模塊，這個模塊的主要功能包括：隱私數據標記、內存鏡像、遷移回滾標記。核心的功能是監控客戶虛擬機中隱私數據的流轉，保證在云計算環境這種碎片化、傳播路徑隨機情況下能夠正確地跟蹤隱私侵犯的線索。

圖3 面向云計算環境的追蹤取證系統整體架構

2) 構建在云環境外部的隱私侵犯分析系統。這個模塊主要的功能包括：面向虛擬機遷移/回滾取證，克服虛擬機遷移或回滾操作對取證的影響，保證能夠正確地跟蹤隱私數據；通過對不同虛擬機的時空一致性分析，克服隱私數據在不同虛擬機中分布和時序不一致問題；多元隱私線索歸一化，能夠將不同虛擬機中的多個線索進行管理分析，得到統一的隱私侵犯場景。

3) 隱私侵犯證據庫。包含了隱私侵犯行為的全過程，包括隱私數據標記位置、隱私侵犯行為以及影響的操作系統對象、隱私侵犯在云計算環境中的上下文。

整個系統設計的關鍵技術主要是對現有云環境中VMM的改造，使之更加適合隱私侵犯取證，涉及的主要技術包括隱私標記和隱私侵犯行為追蹤、隱私侵犯行為多元化分析、隱私侵犯取證保存3個部分。

隱私數據標記分為手工標記和自動化標記。手工標記是提供一組隱私數據標記API，由云程序設計者調用API標記隱私數據位置，通過VMM的監控系統進行維護。自動化標記是VMM監控虛擬機的執行，將加密關鍵函數訪問的內存區域自動標記為敏感數據，為了提高標記精度，需要采用智能化的分析。

遷移回滾標記需要跨多個物理主機和虛擬機系統，對遷移的進程、虛擬機進行準確定位，保持隱私數據的唯一性，以便下一步的分析系統能夠整合所有的線索，因此遷移回滾標記是一個分布式的協作模塊。自適應的內存鏡像模塊可以根據需要自動化地對虛擬機內存進行保存和分析，能夠監控虛擬機中內存變化和操作系統核心對象的創建、修改、刪除，跟蹤各種隱私侵犯行為，作為隱私侵犯線索保存。最終，整個系統的設計和實現需要充分考慮對云計算環境的性能影響，保證不影響云計算環境正常的業務處理。

隱私侵犯行為多元分析的主要作用是在云環境中收集可能存在隱私侵犯行為的信息，通過多維度和長時間跨度范圍的綜合分析，找出隱私侵犯行為并取證。隱私侵犯行為多元分析系統首先使用Bro IDS獲取云環境中客戶機中的可執行文件，然后通過Yara分析該可執行程序的行為，并通過惡意軟件樣本判斷是否為可疑應用。若判斷為可疑應用后，再獲取客戶虛擬機的系統版本等信息，并利用虛擬機自省技術（VMI，virtual machine introspection）模擬出該客戶機同樣環境的一個虛擬機。接下來，在此模擬環境中對應用的行為做進一步細致的分析，其中包括連續內存鏡像分析、隱私泄露路徑監測等過程，并將其存在的隱私侵犯行為記錄下來。通過這樣的方法和過程，可以有效地避免破壞客戶機原有的運行環境和正常任務，同時可以抵抗虛擬機回滾等抹去隱私侵犯記錄的行為。為提高效率，在某些過程中保持粗粒度的檢測，同時，經過進一步細粒度的檢測，準確地驗證隱私侵犯的證據。整體架構如圖4所示。

圖4 隱私侵犯行為多元分析架構

4.2 內存隱私數據標記實例

在云環境中，存在把內存中的隱私數據通過文件或者網絡的方式泄露出去的問題。由于文件讀寫和網絡請求十分頻繁，很難從大量的文件和網絡請求中分辨是否存在泄露隱私數據的行為。而通過內存隱私數據標記和污點追蹤的方法，則可以很容易地分辨出隱私數據并進一步對該數據實施污點追蹤，存在泄露隱私數據行為的證據也將輕易被獲取到。

內存標記和污點追蹤的關鍵點在于如何標記關鍵的內存數據，需要通過特征字符串定位、關鍵系統調用、SSL密鑰等數據定位隱私數據。例如，在本節實例中，定義Firefox的歷史記錄（'0x06 0x25 0x08','0x06 0x25 0x09'等）、cookie（'0x04 0x06 0x06','0x05 0x06 0x06'等）等關鍵特征字符串，并在物理內存中搜索該字符串，再通過hook系統截取信息關鍵函數（GetComputerName、GetUserName、GetSystemInfod等），從而完成內存標記并做進一步的污點追蹤。

圖5為利用本系統實現的一個內存隱私數據標記的大致流程，在該例子中，通過對虛擬機內存中Firefox歷史記錄、cookie等隱私數據關鍵字符串的搜索，標記相應隱私數據為污點源。通過API hook技術監控GetSystemInfo等系統關鍵信息函數的調用，將其參數標記為污點源。通過對污點內存數據的追蹤，分析污點數據在操作系統中的流向。若應用程序通過網絡套接字和文件相關接口進行操作時，檢查是否存在被標記的污點隱私數據有寫入文件或通過數據分組發送至網絡的操作，達到標記并追蹤隱私數據的目的，為整個面向云計算環境的追蹤取證系統提供標記隱私數據的基礎。

圖5 內存隱私數據標記實例

5 結束語

隨著云計算的進一步發展，云環境下取證分析的重要性自然不言而喻。本文主要從現有的研究狀況入手，分析云環境下隱私取證存在的問題和挑戰，然后提出了其關鍵的研究內容和技術路線，最后提出一個面向云環境隱私取證的系統。隨著云環境取證技術的不斷完善和進步，云取證必將推動計算機其他領域的技術發展。

[1] NIST cloud computing forensic science chanllengs[EB/OL]. https:// csrc.nist.gov/csrc/media/publications/nistir/8006/draft/documents/ draft_nistir_8006.pdf.

[2] RUAN K, CARTHY J, KECHADI T, et al. Cloud forensics[C]// IFIP International Conference on Digital Forensics. 2011: 35-46.

[3] Mapping the forensic standard ISO/IEC 27037 to Cloud Computing[EB/OL]. https://downloads.cloudsecurityalliance.org/initiatives/imf/ Mapping-the-Forensic-Standard-ISO-IEC-27037-to-Cloud-Computing. pdf.

[4] RUAN K, CARTHY J, KECHADI T, et al. Cloud forensics definitions and critical criteria for cloud forensic capability: An overview of survey results[J]. Digital Investigation, 2013, 10(1): 34-43.

[5] ZARGARI S, BENFORD D. Cloud forensics: concepts, issues, and challenges[C]//The third Conference on Emerging Intelligent Data and Web Technologies (EIDWT). 2012: 236-243.

[6] TAYLOR M, HAGGERTY J, GRESTY D, et al. Forensic investigation of cloud computing systems[J]. Network Security, 2011(3): 4-10.

[7] [EB/OL]. http://www.guidancesoftware.com/encase-forensic.

[8] [EB/OL]. http://www.accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk.

[9] ZAWOAD S, HASAN R. Cloud forensics: a meta-study of challenges, approaches, and open problems[EB/OL]. http://www.cryptome. org/2013/02/cloud-forensics.pdf.

[10] NANDA S, HANSEN R A. Forensics as a service: three-tier architecture for cloud based forensic analysis[C]//The 15th International Symposium on Parallel and Distributed Computing (ISPDC). 2016: 178-183.

[11] 謝亞龍, 丁麗萍, 林渝淇, 等. ICFF: 一種IaaS 模式下的云取證框架[J]. 通信學報, 2013, 34(5): 200-206. XIE Y L, DING L P, LIN Y Q, et al. ICFF: a cloud forensics framework under the IaaS model[J]. Journal on Communications, 2013, 34(5): 200-206.

[12] 周剛. 云計算環境中面向取證的現場遷移技術研究[D]. 武漢: 華中科技大學, 2011. ZHOU G. Research on forensics-oriented site migration technology in cloud computing environment[D]. Wuhan: Huazhong University of Science and Technology, 2011.

[13] LEE J, UN S. Digital forensics as a service: a case study of forensic indexed search[C]//The International Conference on ICT Convergence (ICTC). 2012: 499-503.

[14] WEN Y, MAN X, LE K, et al. Forensics-as-a-service (faas): computer forensic workflow management and processing using cloud[C]//The fifth International Conferences on Pervasive Patterns and Applications. 2013: 1-7.

[15] SANG T. A log based approach to make digital forensics easier on cloud computing[C]//Intelligent System Design and Engineering Applications (ISDEA). 2013: 91-94.

[16] 田慶宜, 王琳, 黃道麗. Vsphere 架構私有云取證方法研究及其實踐[J]. 信息網絡安全, 2011, 9: 44-46. TIAN Q Y, WANG L, HUANG D L. Research and practice of VSPhere architecture private cloud forensics methods[J]. Netinfo Security, 2017, 30(1): 31-38.

[17] 吳松洋, 張熙哲, 王旭鵬, 等. 基于 Hadoop 的高效分布式取證: 原理與方法[J]. 電信科學, 2017, 30(1): 31-38. WU S Y, ZHANG X Z, WANG X P, et al. Highly distributed distributed forensics based on hadoop: principles and methods [J]. Telecommunications Science，2017, 30(1): 31-38.

[18] ZHOU M, ZHANG R, XIE W, et al. Security and privacy in cloud computing: a survey[C]//The sixth International Conference on Semantics Knowledge and Grid (SKG).2010: 105-112.

[19] BURNSIDE R S. The electronic communications privacy act of 1986: the challenge of applying ambiguous statutory language to intricate telecommunication technologies[J]. Rutgers Computer & Technology, 1987, 13: 451.

[20] SHELDON J. Fair credit reporting act[J]. National Consumer Law Center Consumer Credit & Sales Legal Practice, 1994, 65(2): 595-609.

[21] EVideo Privacy Protection Act[EB/OL]. http://epic.org/privacy/vppa/.

[22] GELLMAN R. Privacy in the clouds: risks to privacy and confidentiality from cloud computing[C]//The World privacy forum. 2012.

[23] CAVOUKIAN A. Privacy in the clouds[J]. Identity in the Information Society, 2008, 1(1): 89-108.

[24] PEARSON S. Taking account of privacy when designing cloud computing services[C]//The 2009 ICSE Workshop on Software Engineering Challenges of Cloud Computing. 2009: 44-52.

[25] PEARSON S, CHARLESWORTH A. Accountability as a way forward for privacy protection in the cloud[C]//IEEE International Conference on Cloud Computing. 2009: 131-144.

[26] SADEGHI A R, SCHNEIDER T, WINANDY M. Token-based cloud computing[C]//The International Conference on Trust and Trustworthy Computing. 2010: 417-429.

[27] WANG C, REN K, WANG J. Secure and practical outsourcing of linear programming in cloud computing[C]//INFOCOM. 2011: 820-828.

[28] XU Z, WANG C, REN K, et al. Proof-carrying cloud computation: the case of convex optimization[J]. IEEE Transactions on Information Forensics and Security, 2014, 9(11): 1790-1803.

[29] ITANI W, KAYSSI A, CHEHAB A. Privacy as a service: privacy-aware data storage and processing in cloud computing architectures[C]//Dependable, Autonomic and Secure Computing. 2009: 711-716.

[30] SQUICCIARINI A, SUNDARESWARAN S, LIN D. Preventing information leakage from indexing in the cloud[C]//The 3rd International Conference on Cloud Computing (CLOUD). 2010: 188-195.

[31] PEARSON S, SHEN Y, MOWBRAY M. A privacy manager for cloud computing[C]//IEEE International Conference on Cloud Computing. 2009: 90-106.

[32] MOWBRAY M, PEARSON S. A client-based privacy manager for cloud computing[C]//The Fourth International ICST Conference on Communication System Software and Middleware. 2009: 5.

Research on forensics of privacy violations in cloud environment

LI Weifeng, QIANG Weizhong, LI Weiming, ZOU Deqing

School of Computer Science & Technology, Huazhong University of Science and Technology, Wuhan 430074, China

Cloud computing is the mainstream information system technology, however, privacy protection of user and privacy violation tracking and forensics in the cloud computing environment have always been a challenge. The current mainstream cloud computing forensics system and standard are not mature and complete, and are far from the target of computer forensics. With the focus on privacy violation and forensics in the cloud environment, status and challenges of cloud forensics and cloud privacy violation were reported firstly. Then, the research content and technical route of privacy forensics in the cloud environments were analyzed. Finally, a specific privacy violation forensics system for cloud environments was presented.

cloud computing, cloud forensics, cloud evidence analysis, privacy violation

TP393

A

10.11959/j.issn.2096-109x.2018004

李維奉（1991-），男，江西南昌人，華中科技大學碩士生，主要研究方向為信息安全。

羌衛中（1977-），男，江蘇南通人，博士，華中科技大學副教授，主要研究方向為信息系統安全。

李偉明（1975-），男，湖南株洲人，博士，華中科技大學副教授，主要研究方向為信息安全。

鄒德清（1975-），男，湖南長沙人，博士，華中科技大學教授，主要研究方向為信息安全。

2017-12-04；

2018-01-02

羌衛中，wzqiang@hust.edu.cn

國家重點研發計劃項目（No.2017YFB0802205）

The National Key Research & Development (R&D) Plan of China (No.2017YFB0802205)