閆衛(wèi)剛

摘要：云計算業(yè)務的不斷增長，增加了云計算或直接以云為目標的網(wǎng)絡犯罪數(shù)量?，F(xiàn)階段，云取證在技術與法律層面的進展還不多。對于取證人員而言，新興的網(wǎng)絡犯罪是_項重大的挑戰(zhàn)。文章以云計算安全風險與傳統(tǒng)的電子取證技術為切入點，對云計算思維模式下的電子取證關鍵技術進行分析，以期為取證人員對涉云網(wǎng)絡犯罪的調(diào)查工作提供參考。

關鍵詞：云計算；網(wǎng)絡犯罪；電子取證；云取證

作為新一代IT服務模式，云計算對眾多領域的變革、重組以及整合產(chǎn)生加速作用，這對電子取證領域而言同樣如此。傳統(tǒng)的電子取證技術具有局限性，在云計算環(huán)境下，大部分完整數(shù)據(jù)以碎片的形式存儲于不同計算機上，若仍對傳統(tǒng)取證技術予以采用，只在單機上不作邏輯地直接取證，很難獲取真實有效的電子證據(jù)，無法形成判罪依據(jù)。云計算技術的發(fā)展對大數(shù)據(jù)時代的來臨產(chǎn)生促進作用，電子證據(jù)的完整獲取與保存、案件的順利偵破，以高效的取證架構(gòu)以及較短的取證周期為支撐，進行云計算思維模式下電子取證關鍵技術的分析具有顯著的現(xiàn)實意義。

1.云計算安全風險

云計算是一種對IT資源的使用模式，是對共享的可配置的計算資源提供無所不在的、方便的、隨需的網(wǎng)絡訪問?，F(xiàn)階段，軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）是云計算公認的3種服務模式。基于自身架構(gòu)與特征，云計算存在著一定的安全缺陷，給予網(wǎng)絡罪犯可乘之機。

1.1云計算安全問題

云計算的升溫凸顯了其所帶來的安全問題，與傳統(tǒng)架構(gòu)相比，云計算的安全問題主要包括數(shù)據(jù)分離與恢復、敏感信息存取、隱私問題、漏洞利用以及惡意內(nèi)部攻擊等。在創(chuàng)造大量利益的同時，云計算還為用戶帶來了很多不容忽視的風險。在企業(yè)與用戶關心的云計算問題中，安全問題所占比例最大，接近于80%。

1.2云計算相關的網(wǎng)絡犯罪

基于云計算的優(yōu)點，很多用戶都將其業(yè)務遷至云上，基于此，網(wǎng)絡罪犯也陸續(xù)將目光放于云計算的弱點之上。TrendMicro的安全報告指出，云計算與虛擬技術在為用戶創(chuàng)造便利、節(jié)省成本的同時，其將服務器遷至傳統(tǒng)信息安全邊界之外的行為又造成了網(wǎng)絡犯罪選擇范圍的擴大。

近年來，云端服務器失效現(xiàn)象時有發(fā)生，云服務由此受到大規(guī)模中斷，業(yè)界開始關注云計算存在的相應缺陷，認為這些缺陷將會發(fā)展為網(wǎng)絡罪犯的首要目標。Gartner指出，云架構(gòu)的安全風險很大，其自身特征要求用戶評估數(shù)據(jù)完整、數(shù)據(jù)恢復、隱私保護等內(nèi)容，在法律層面，電子證據(jù)取證與審計等工作需要得到應有的重視。

2.電子取證關鍵技術

在入侵者犯罪手段與技術不斷變化的背景之下，電子取證需要更多、更高的技術。

2.1數(shù)據(jù)復制技術

該技術有數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照以及攝像等。針對包含視聽資料的證據(jù)，可以在取證過程中采取拍照與攝像的方式，提高證明力度，預防翻供現(xiàn)象的發(fā)生。案件發(fā)生以后，利用數(shù)據(jù)鏡像，能夠在另外一臺主機上恢復所備份的數(shù)據(jù)，分析工作在映像上的開展要比在原件上的開展更加具有安全性。

2.2信息加密技術

對于信息安全而言，信息加密技術十分重要，它利用密鑰技術對傳輸、交換并存儲于通信網(wǎng)絡中的信息進行保護，保持其機密性、完整性與真實性。作為一種基本技術，數(shù)據(jù)加密技術向所有的網(wǎng)絡通信提供安全保證，它有鏈路加密、節(jié)點對節(jié)點加密以及端對端加密3種方式。

2.3數(shù)據(jù)復原技術

電子證據(jù)復原是指通過采用一定的復原技術，對在不同程度上受到損壞的數(shù)據(jù)或者部分不可見區(qū)域中的數(shù)據(jù)進行恢復。很多計算機系統(tǒng)都具有自動生成備份與恢復數(shù)據(jù)的功能，一些計算機中的安全系統(tǒng)還會針對性地對部分重要數(shù)據(jù)庫做出專門備份的準備。系統(tǒng)的組成通常分為專門設備與專門操作管理，篡改系數(shù)比較大。所以，當出現(xiàn)計算機犯罪，相關證據(jù)遭到修改與破壞之時，可對自動備份數(shù)據(jù)與已經(jīng)過處理的數(shù)據(jù)證據(jù)進行比較，以此對數(shù)據(jù)施以可靠度最高的恢復，為定案提供真實證據(jù)。

2.4數(shù)據(jù)截取技術

偵查員在罪犯進行計算機犯罪的過程中，可對此項技術加以利用，以此截獲相應的犯罪證據(jù)。數(shù)據(jù)的截取依賴于傳輸介質(zhì)，數(shù)據(jù)在傳輸過程中有有線數(shù)據(jù)傳輸與無線數(shù)據(jù)傳輸兩種劃分。在有線傳輸中，截取技術采用的是網(wǎng)絡監(jiān)聽的方式，該方式需要對主機網(wǎng)卡進行混雜模式的設置，使主機接受對應網(wǎng)段內(nèi)統(tǒng)一物理通道所傳輸?shù)娜啃畔ⅲ源藢νㄐ胚^程中的主要信息予以截取，Sniffer與TCP Dump為該傳輸方式的兩種常用工具。在無線傳輸中，信息的截取是通過電磁波實現(xiàn)的。所截取的信息能夠提供證據(jù)于犯罪行為與類型等的分析。

2.5數(shù)據(jù)欺騙技術

陷阱與偽裝等是數(shù)據(jù)欺騙所采取的主要方式。通過對虛擬系統(tǒng)、服務或環(huán)境的構(gòu)造，罪犯能夠誘騙攻擊者向其發(fā)起進攻。該技術在網(wǎng)絡攻擊中證據(jù)的獲取上有著較為廣泛的應用，在攻擊者不知情的情況下，取證系統(tǒng)可通過潛伏對其完整的攻擊流程、方式等進行記錄，以此獲取證據(jù)信息，證明攻擊與入侵等行為發(fā)生的真實性。蜜罐與密網(wǎng)是使用率較高的陷阱工具。

2.6惡意代碼技術

為了對取證過程中交互性導致的干擾問題予以避免，需對應用惡意代碼技術進行隱秘取證的方法進行研究。惡意代碼具有破壞或擾亂系統(tǒng)特定功能的作用，它具有長期潛伏性，能夠?qū)γ舾行畔⑦M行秘密的竊取。在網(wǎng)絡通信中，惡意代碼技術能夠?qū)崿F(xiàn)全程隱藏導入以及遠程信息傳送與控制，快速反應、動態(tài)取證是其突出的特征體現(xiàn)。

2.7人工智能與數(shù)據(jù)挖掘技術

網(wǎng)絡傳輸速度與計算機存儲容量成正比，針對存儲于計算機內(nèi)的與在網(wǎng)絡中傳輸?shù)拇罅繑?shù)據(jù)，可應用人工智能與數(shù)據(jù)挖掘技術搜集相關于特定犯罪的證據(jù)，對智能化取證予以實現(xiàn)。人工智能技術以開發(fā)專家系統(tǒng)為核心，其優(yōu)勢在于能夠提高系統(tǒng)標識、預測正常類型與異常類型數(shù)據(jù)新特征的能力，對部分未知的數(shù)據(jù)是否能夠構(gòu)成犯罪證據(jù)進行預測，實現(xiàn)數(shù)據(jù)分析智能性的提升。數(shù)據(jù)挖掘分為關聯(lián)規(guī)則分析、分類與聯(lián)系分析等技術，利用這些技術，可以在網(wǎng)絡動態(tài)取證數(shù)據(jù)分析環(huán)節(jié)對數(shù)據(jù)庫中的數(shù)據(jù)進行特征挖掘，生成用戶行為合法性的判斷規(guī)則，以準確、有效、動態(tài)地挖掘犯罪行為證據(jù)。

3.云計算思維模式下的新型電子取證技術

為了解決取證不完整、不充分等問題，文章提出適合于云計算環(huán)境的新型電子取證技術，將其融入云計算模式下的電子取證流程中，并在流程中對Hadoop架構(gòu)下Mahout數(shù)據(jù)挖掘技術予以運用，實現(xiàn)對證據(jù)有用性不足、深度不夠等問題的解決。

3.1技術流程

（1）明確取證目的與范圍。取證目的的明確要求對歷次取證的目標與意義進行把握，向最終所獲取的證據(jù)的真實性、合法性與關聯(lián)性提供保證，使其能夠得到法院訴訟審查的接納，并在質(zhì)證環(huán)節(jié)被采信，此外，對取證環(huán)節(jié)的消極性與被動性加以避免。取證范圍的明確要求取證過程所采取的證據(jù)關聯(lián)于所發(fā)生的案件，對由于采取不到電子證據(jù)而導致的案件偵破時間浪費現(xiàn)象予以避免。

（2）明確取證數(shù)據(jù)來源。在云計算環(huán)境下，電子取證數(shù)據(jù)有多方面的來源，它們既有來源于大規(guī)模云計算中心的數(shù)據(jù)，又有來源于云服務商的數(shù)據(jù)，還有來源于客戶端的數(shù)據(jù)。來源不同的數(shù)據(jù)會涉及不同的取證對象，其中大型云存儲器是對應于云數(shù)據(jù)中心的取證對象，規(guī)模相對較小的存儲器是對應于云服務器提供商的取證對象，而客戶機的內(nèi)存、緩存與文件等，則是與客戶端相對應的取證對象。取整數(shù)據(jù)來源的盡早明確能夠?qū)θ∽C范圍予以縮小，實現(xiàn)對取證速度的加快。

（3）實際取證階段。在云計算思維模式下，利用取證軟件進行證據(jù)的獲取能夠?qū)ψC據(jù)可靠性、完整性與充分性提供保證，它是對傳統(tǒng)電子取證技術的突破，能夠?qū)鹘y(tǒng)技術在云計算環(huán)境下的取證缺陷予以彌補。

（4）證據(jù)信息處理階段。云計算環(huán)境中的電子數(shù)據(jù)數(shù)量十分龐大，能夠為取證過程提供大量證據(jù)信息。但是，這些證據(jù)存在冗余現(xiàn)象，若不采取有效措施進行處理，會降低證據(jù)的深度與有用程度。針對于此，可以對Hadoop架構(gòu)中的Mahout予以采用，對有用的電子證據(jù)進行挖掘與處理。

（5）證據(jù)信息分析階段。從上一步中的證據(jù)信息中進行涉案痕跡與違法證據(jù)的查找，有利于案件的順利偵破。

3.2技術架構(gòu)

云計算思維模式下電子證據(jù)取證技術架構(gòu)可劃分為5個層次。其中，最底層為硬件資源池層，主要對CPU、內(nèi)存、存儲器、網(wǎng)絡設備以及帶寬等資源予以涵蓋，它能夠提供底層硬件支持于技術的實施，是技術架構(gòu)的基礎設施層；往上一層是虛擬軟件層，通過利用虛擬化軟件，對底層硬件資源池進行虛擬處理，使其具有多層邏輯；再往上一層是虛擬機層，它與實體機有著相似的作用，唯一的不同在于資源的使用方式；在虛擬機層之上，為Hadoop分布式云計算平臺，作為云取證系統(tǒng)的核心，該層利用MapReduce并行編程模型與HDFS分布式存儲模塊共同實現(xiàn)高速、實時且可靠的電子取證，在取證完成之后，還能夠?qū)θ哂嘈畔⑦M行分析與處理，以提供清晰證據(jù)于取證人員；最上層是電子取證客戶端，主要用于證據(jù)信息的收集與顯示。