一種云取證中間件系統的設計

楊子祺 ，楊淑棉，王連海

(1.山東師范大學信息科學與工程學院， 山東 濟南 250358；2. 齊魯工業大學(山東省科學院)，山東省計算中心(國家超級計算濟南中心)，山東省計算機網絡重點實驗室，山東 濟南 250014)

一種云取證中間件系統的設計

楊子祺1，楊淑棉2*，王連海2

(1.山東師范大學信息科學與工程學院， 山東 濟南 250358；2. 齊魯工業大學(山東省科學院)，山東省計算中心(國家超級計算濟南中心)，山東省計算機網絡重點實驗室，山東 濟南 250014)

摘要：云計算的快速發展在產生巨大的經濟效益的同時，也帶來了計算機犯罪問題。針對如何從云中全面、便利地獲取到可信、完整的數字證據，提出了一種云取證中間件的設計方法。該方法主要包括遠程控制端證據再現、服務端證據分析和監控管理、客戶端內存獲取和分析3個部分。該設計比傳統在線取證方法更符合傳統物證技術的要求，提高了取證人員的工作效率和證據的可信度。在Windows 10系統(客戶端)和Centos7.0(服務端)系統上的驗證結果表明，該設計是有效和可靠的。

關鍵詞：云取證；中間件；物理內存；遠程控制

中圖分類號：TP393

文獻標識碼：A

文章編號：1002-4026(2018)05-0115-06

DOI:10.3976/j.issn.1002-4026.2018.05.018

收稿日期：2018-05-17

基金項目：山東省自然科學基金(ZR2016YL011)

作者簡介：楊子祺(1999—)，女，研究方向為軟件研究和開發。

*通信作者。E-mail:yangshm@sdas.org

Designofacloudforensicsmiddlewaresystem

YANG Zi-qi1, YANG Shu-mian2*, WANG Lian-hai2

(1.School of Information Science &Engineering， Shandong Normal University, Jinan 250358, China; 2 Shandong Provincial Key Laboratory of Computer Networks，Shandong Computer Science Center ( National Supercomputer Center in Jinan )，Qilu University of Technology (Shandong Academy of Sciences) ， Jinan 250014, China)

Abstract∶The rapid development of cloud computing not only has brought huge economic benefits, but also has brought the issue of computer related crimes. In this paper, a design method of cloud forensics middleware was proposed to obtain credible and complete digital evidence from the cloud in a comprehensive and convenient manner. The design method mainly included three parts: remote control end proofs, server-side evidence analysis and monitoring management, and client-side memory acquisition and analysis. Compared with the traditional online forensics methods, this method was more in line with the requirements of traditional physical evidence technology, greatly improving the efficiency of the forensic staff and the credibility of the evidence. The method has been verified on Windows 10 (the client) and Centos 7.0 (the server) and was proved to be effective and reliable.

Key words∶cloud forensics; middleware; physical memory; remote control

云計算、通訊技術和計算機技術快速的發展不僅產生了巨大的經濟效益和更多的便利，同時也帶來了計算機犯罪問題，越來越多的惡意攻擊正在利用云計算、網絡實施，云取證是打擊網絡犯罪最主要的手段。由于云具有不同的部署和服務模式，增加了事件應急響應和數字取證的難度，因此如何從云中獲取完整可靠的證據數據是當前云取證研究的難點問題[1]。

此外，隨著云計算用戶的增加，取證案件數量也逐年增加，但是取證人員的數量卻很有限，無法及時到現場進行取證，而且每個案件會有不同的取證方法，甚至一個案件需要多種分析方法，取證人員緊靠自身的個人經驗進行取證效率低下，很難進行全方面的取證工作[2]。

基于以上問題，國內外專家針對取出來的數據是否可信、完整，也給出了很多的解決辦法。謝亞龍等[3]提出了一種基礎設施即服務(IaaS)云模型下的取證框架ICFF，王連海[4]提出基于物理內存分析的在線取證模型及方法研究，解決了傳統在線取證方式存在的問題，使在線證據的可信性成為可能；郭牧等[5]提出了基于KPCR結構的Windows系統物理內存分析方法；楊淑棉等[6]提出了一種基于物理內存分析的遠程取證系統，這些都在證據的可信性方面提出了解決方案。

針對目前云計算中取證工具的缺失，鄧曄[7]研究了從視頻監控中間件到云計算中間件，介紹了中間件的產生背景、中間件的作用；裴忠一[8]提出了基于云中間件的VPN系統設計與實現；羅高博[9]提出了健康管理云平臺的設計與實現；李光宇等[10]提出了基于C/S模型的OPC客戶端實現遠程監控；劉艷等[11]提出基于公有云平臺進行信息交互的智能控制系統；崔競松等[12]提出基于KVM虛擬桌面的透明消息通道設計。以上這些都在云中間件設計方面提出了一定的解決方案，但是都是傳輸的傳統類型的數據，并不能保證傳輸的證據是可信的、完整的。

本文基于以上證據的可信、完整問題，設計了一種云取證中間件，能對云計算環境中的服務器、個人電腦和智能終端等大量計算設備的物理內存進行取證分析，一方面，對物理內存進行鏡像并對內存鏡像文件進行hash計算，保證證據的真實性；另一方面針對鏡像的內存文件進行分析，并應用base64編碼后傳輸內存分析結果及其鏡像的物理內存文件。其核心組成包括客戶端內存獲取與分析軟件、服務端證據分析與監控管理、遠程控制服務軟件。

1 設計方法

本文設計的取證系統通過遠程管理服務的模式收集客戶端信息，服務端能遠程獲取客戶端的物理內存鏡像文件、物理內存分析結果和客戶端的日志信息，并提供檢索物理內存分析結果和并行分析內存的功能，從內存分析結果中獲取到有價值的信息，能夠幫助司法人員在海量內存分析結果中發現所需要的證據，大大提高工作效率。系統主要包括3部分：遠程控制端、服務端和客戶端。

1.1 遠程控制管理

主要連接服務端，根據服務端的需求來獲取客戶端的信息，并對客戶端的日志信息進行展示，日志信息主要包括客戶端的IP地址、端口、傳輸的鏡像文件名、內存分析文件結果和對應的md5值。另外還有檢索的功能，用戶想搜索某個關鍵詞，則可以通過檢索獲取到客戶端的內存鏡像分析結果。并且提供導出功能，可以把任何一條或者所有的檢索結果和內存分析結果導出，便于取證人員進一步分析。遠程控制端功能如圖1所示。

圖1 遠程控制端流程圖Fig.1 The flow chart of remote control terminal

遠程控制端包括5大模塊：新建案例、通訊模塊、日志管理模塊、關鍵文件檢索模塊、 并行分析模塊。關鍵模塊主要設計如下：

通訊模塊使用TCP協議進行連接，雙方開始認證，認證通過后，雙方建立連接，進行通訊。日志管理模塊主要是通過分析Windows日志包括應用程序日志、安全日志、系統日志，并對一條日志中的關鍵字進行提取分析，主要關鍵字段是日志名稱、來源、記錄時間、時間ID、用戶、關鍵字、詳細信息等；內存分析結果展示部分可以完成對hadoop hive中的結果進行檢索，將符合條件的信息顯示在列表框中。如表table選項，包括basicinfo，process，driver，net，registry，syslog，hookinfo，winlogon8個表格。其中每個表格對應各自的主鍵，basicinfo表中關鍵字段ClientIP、MemoryTime、registerowner、productname、systemname；process表中關鍵字段：ClientIP、MemoryTime、name、pid；driver表中關鍵字段：ClientIP、MemoryTime、 name；net表：ClientIP、MemoryTime、remoteaddress；Registry表：ClientIP、MemoryTime、 name、 type；syslog表：ClientIP、MemoryTime、systemloginfo；hookinfo表：ClientIP、MemoryTime、processname、processPID；winlogon表：ClientIP、MemoryTime、username、rid。

1.2 服務端

服務端開啟多線程，同時偵聽多個客戶端，若有客戶端連接請求，則向客戶端發送不同的固定字符串“INF#PhysicalMemoryString#”，客戶端根據收到的字符串向服務端傳輸不同的信息，主要收集客戶端的物理內存鏡像文件和對應的鏡像文件分析結果，由于開啟了多線程，能同時收集若干個客戶端的物理內存鏡像文件和內存分析結果信息，并將內存分析結果存儲到hadoop hive數據庫；同時與遠程建立連接，根據遠程客戶端的需求，向遠程發送客戶端的日志信息，并能根據遠程控制端的檢索條件，從hadoop hive數據庫中查找符合條件的檢索信息，發送到遠程控制端在列表中顯示。服務端功能如圖2所示：

圖2 服務端功能流程圖Fig.2 Functional flow chart of server side

服務端存儲到hive數據庫：根據收到的不同字段，使用hive -e " load data local inpath ‘表名’into table 表名向數據庫中插入數據。

并行分析：根據遠程控制端的需要，服務端開啟多線程，同時處理多個物理內存鏡像文件的分析。

1.3 客戶端(智能終端和客戶終端)

與服務端建立連接，首先判斷系統版本，根據系統版本的不同選擇不同的鏡像物理內存的方法，并把鏡像文件存儲到本地進行分析，并做hash值計算，通過驗證hash值驗證發送的物理內存鏡像文件沒有被篡改，然后調用基于KPCR的物理內存分析行程序分析內存鏡像文件，并將內存分析結果和物理內存鏡像文件一起傳送到服務端，內存分析結果寫到hadoop數據倉庫。客戶端部分數據收集分析處理流程如圖3所示。

圖3 客戶端工作流程Fig.3 The flow chart of client

1.3.1 加載鏡像文件獲取的驅動方法

系統若是64位操作系統，加載驅動的方法：SCMLoadDeviceDriver(str.GetBuffer(str.GetLength()),"64BitMemDump")；否則：SCMLoadDeviceDriver(str.GetBuffer(str.GetLength()),"32BitMemDump")，64BitMemDump、32BitMemDump分別為不同版本系統下獲取物理內存鏡像文件的驅動程序。

1.3.2 內存分析程序

主機若是Linux系統，則使用VMCS結構體分析方法；若是Windows操作系統，則使用基于KPCR的物理內存分析方法，基于KPCR物理內存主要解決物理地址與虛擬地址轉換問題，只有獲取到物理內存地址才可以對物理內存進行分析。

2 中間件系統的設計與實現

原型系統的開發遠程控制端部分使用VS2010開發，要求運行于Windows操作系統中，支持Windows XP、Windows 7和Windows 10系統。遠程控制端是界面程序，不需要安裝，直接打開.exe文件即可，包括日志文件獲取和解析程序。

服務端是命令行程序，在Centos 7.0下使用c語言開發，要求安裝hadoop hive數據庫。服務端執行./tcp 端口，端口可以任意設置，比如5000，服務開啟之后，服務端偵聽客戶端和遠程控制端。一方面與客戶端建立連接，從客戶端接收物理內存鏡像文件和物理內存分析結果，并將內存分析結果存儲到hadoop支持的mysql數據庫，傳輸過程支持對文件進行編碼解碼計算。另一方面與遠程客戶端建立連接，提供客戶端的日志信息并展示，并根據檢索要求，提供符合條件的物理內存分析結果。由于客戶端、服務端之間傳輸物理內存鏡像文件，傳輸4G以上內存需要在linux 內核系統中增加參數-D_FILE_OFFSET_BITS=64，兩者之間才能正常傳輸。

客戶端程序是進程式命令行程序，目錄下包含物理內存鏡像程序和物理內存分析程序，分別支持Windows XP、Windows 7系統和Windows 10系統。客戶端是Windows下命令行程序，打開tcp_client_send.exe，則客戶端一方面獲取物理鏡像文件并存到本地，然后將調用內存分析程序分析物理內存鏡像文件，并將分析結果連同物理內存鏡像文件傳輸到服務端。鏡像界面如圖4所示。

圖4 物理內存鏡像Fig. 4 The image of physical memory

遠程控制和服務端、客戶端和服務端之間需要網絡，互相ping通才可以進行連接和傳輸。系統為保證證據的完整性和可信性，使用TCP協議作為通訊協議，以Windows 7系統為例，運行遠程控制端程序，打開remote_tcp_client.exe程序，啟動界面如圖5所示。

圖5 遠程控制端主界面Fig.5 The main interface of remote control

主要包括3部分：開啟服務、日志信息和檢索信息。上半部分左側樹狀控件顯示服務端的IP地址和客戶端的IP地址及其客戶端傳輸到服務端的內存鏡像文件，右側列表框是展示客戶端的日志信息，包括客戶端內存鏡像文件生成時間、IP地址、端口、內存鏡像文件的MD5值和文件名。主界面中間部分是服務端的IP地址和端口，與服務端進行連接，開啟服務。主界面下半部分列表框主要顯示內存分析結果和符合條件的內存檢索結果。

選擇上半部分列表框中客戶端日志信息的任意一行或者若干行，右鍵點擊“發送”，則提取出內存鏡像文件發送到服務端，根據鏡像的文件名，將對鏡像文件進行內存分析，內存分析過程需要等待一段時間，分析完畢后，內存分析結果將展示到主界面下半部分的列表框中如圖6所示。

圖6 客戶端的一條內存分析結果Fig. 6 The memory analysis result of client

本設計方法提出并實現了云取證中間件，滿足了IT行業用戶在取證和安全審計方面的需求，擴大了應用領域，延長了計算機取證的產業鏈。

3 結語

本文針對目前傳統取證工具存在的在線取證工具缺乏等缺陷，設計了一種云取證中間件，該方法解決了證據可信性和取證人員難以及時處理大量案件的問題。利用此方法開發完成了云取證中間件系統，該系統的客戶端軟件能根據遠程服務器端的需求，實現本地證據的實時處理，包括證據的保存、證據的分析，可以遠程控制取證工具和其他第三方應用，實現證據的實時收集和處理，并將遠程證據和分析結果發送到服務器端進行證據保存、分析處理。遠程控制端可以實現客戶端的安全審計，實時收集客戶端操作系統的應用程序日志、安全日志、系統日志等審計信息，同時還可以對取證人員進行全程監視和記錄，并發送到遠程服務器端分析處理，做到對網絡安全隱患或違法犯罪活動的及時發現。后續我們將進一步擴大版本的開發，獲取并分析不同系統的物理內存，為越來越多的云用戶服務。