李自龍?余軍

摘 要：隨著云計(jì)算的出現(xiàn)，網(wǎng)絡(luò)取證在調(diào)查過程中面臨巨大挑戰(zhàn)。云計(jì)算的普及為有數(shù)據(jù)處理需求的用戶提供極大的便利。但數(shù)據(jù)和應(yīng)用程序由第三方管理，隱私和安全方面的風(fēng)險(xiǎn)也在增加。對網(wǎng)絡(luò)取證人員在云環(huán)境調(diào)查取證中可能面臨的難題進(jìn)行分析與研究，將云計(jì)算中網(wǎng)絡(luò)取證提出的困境分為取證人員、云服務(wù)提供商、取證工具及其他，并對云環(huán)境中取證問題進(jìn)行部分改善。

關(guān)鍵詞：云計(jì)算；云架構(gòu)；云安全；云中網(wǎng)絡(luò)取證困境

1 引言

電子數(shù)據(jù)取證是指“采用技術(shù)手段，獲取、分析、固定電子數(shù)據(jù)作為認(rèn)定事實(shí)的科學(xué)”。 網(wǎng)絡(luò)取證為電子數(shù)據(jù)取證的其中一類。網(wǎng)絡(luò)取證是捕獲，分析和調(diào)查網(wǎng)絡(luò)流量的領(lǐng)域，旨在將攻擊歸因于某些特定的來源或嫌疑人。重建網(wǎng)絡(luò)犯罪活動，以得出為什么，如何以及由誰執(zhí)行活動的結(jié)論。網(wǎng)絡(luò)取證框架涉及從準(zhǔn)備開始到調(diào)查，收集和保存證據(jù)的一系列過程。該過程通過對網(wǎng)絡(luò)流量進(jìn)行檢查分析，再對案件進(jìn)行調(diào)查，最終得出結(jié)論。

云計(jì)算是一種計(jì)算方法，是根據(jù)用戶在互聯(lián)網(wǎng)上的定制需求向客戶提供靈活的計(jì)算和存儲服務(wù)。云計(jì)算的出現(xiàn)對網(wǎng)絡(luò)安全領(lǐng)域帶來巨大的挑戰(zhàn)，也成為其擴(kuò)展市場的瓶頸?？蛻魯?shù)據(jù)與其他用戶數(shù)據(jù)共同存儲在云端。資源在云上的可擴(kuò)展性是為客戶提供靈活性的重要特征。除了傳統(tǒng)網(wǎng)絡(luò)攻擊之外，云環(huán)境會遇到新的攻擊形式。將云環(huán)境中的網(wǎng)絡(luò)取證問題分為某些特定組，如使其與取證人員、云服務(wù)提供商和網(wǎng)絡(luò)取證工具設(shè)計(jì)人員相關(guān)聯(lián)，可以適當(dāng)減輕取證難度。

2 文獻(xiàn)綜述

本文主要研究網(wǎng)絡(luò)取證面臨的問題，特別是在云環(huán)境中存在的問題。 Dominik和Christoph 在文獻(xiàn)中強(qiáng)調(diào)，由于云架構(gòu)中的分散功能，使用常規(guī)取證技術(shù)在云中進(jìn)行取證是不夠的。沒有統(tǒng)一標(biāo)準(zhǔn)是在云環(huán)境中進(jìn)行系統(tǒng)的取證調(diào)查的障礙。Ahmad Almulhem認(rèn)為，要成功實(shí)施網(wǎng)絡(luò)取證，網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)完全支持取證活動，這是一項(xiàng)艱巨的任務(wù)。其中存在多個數(shù)據(jù)源，決定要保留的數(shù)據(jù)的可信度，數(shù)據(jù)完整性，與隱私相關(guān)的問題和不同格式數(shù)據(jù)的分析等。Elias和Xenofontas 分析多個數(shù)據(jù)源，對安全事件的真實(shí)性進(jìn)行評論。通過對廣泛的安全事件的系統(tǒng)研究，確立使用多個取證工具的綜合工作可以產(chǎn)生準(zhǔn)確可靠的結(jié)果。網(wǎng)絡(luò)取證為網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮重要作用的取證學(xué)科之一。處理復(fù)雜的海量數(shù)據(jù)，特別是網(wǎng)絡(luò)端口掃描攻擊，可以通過應(yīng)用嚴(yán)格過濾包括日志文件中的數(shù)據(jù)包的技術(shù)來處理。蜜陷是一種有價值和低成本的技術(shù)，可以通過捕獲網(wǎng)絡(luò)流量并建立與通過常規(guī)網(wǎng)絡(luò)取證工具監(jiān)控的數(shù)據(jù)的關(guān)系來構(gòu)建網(wǎng)絡(luò)取證過程。

3 云的特征與架構(gòu)

云計(jì)算是目前討論最多的技術(shù)之一，但是研究人員和技術(shù)人員對安全問題卻額外重視。云架構(gòu)在工業(yè)領(lǐng)域以顯著的特點(diǎn)和靈活的部署技術(shù)迅速發(fā)展，改變著人們的生活。其主要特點(diǎn)如下：

3.1 云特征

云計(jì)算的顯著特征是簡單易用的交互模型。客戶端或用戶無需專業(yè)知識了解云的底層技術(shù)細(xì)節(jié)知識也可以使用其服務(wù)[9]。云的以下功能使其與傳統(tǒng)系統(tǒng)有所區(qū)別：

（1）資源池：用戶根據(jù)云的不斷變化的需求定制服務(wù)，其中一般包括服務(wù)提供商管理的處理數(shù)據(jù)能力、存儲介質(zhì)和應(yīng)用環(huán)境。客戶以低成本訪問資源池，建立和維護(hù)等效服務(wù)[6]。

（2） 多終端：客戶可以使用包括個人電腦、筆記本電腦、IPad或移動電話等多種終端設(shè)備通過網(wǎng)絡(luò)獲得云資源。

（3）按需自助服務(wù)：客戶有權(quán)自定義服務(wù)，與云服務(wù)提供商沒有或進(jìn)行間接交互。

（4）快速彈性：云計(jì)算向用戶提供的服務(wù)是可變的，允許用戶根據(jù)要求隨時升級或減少服務(wù)。

（5） 付費(fèi)：客戶需要支付一定的費(fèi)用才可以使用服務(wù)，客戶和服務(wù)提供商都負(fù)有責(zé)任。

3.2 服務(wù)模式

云計(jì)算服務(wù)分為三層，為客戶提供服務(wù)。即基礎(chǔ)架構(gòu)即服務(wù)（Infrastructure-as-a-service，IaaS），軟件即服務(wù)（Software-as-a-service，SaaS）和平臺即服務(wù)（Platform-as-a-service，PaaS），每個層本身都是一個完整的服務(wù)模型[10]。最底層是IaaS，其中服務(wù)提供者匯集資源，向客戶提供硬件，網(wǎng)絡(luò)，計(jì)算和存儲服務(wù)。IaaS提供網(wǎng)絡(luò)和硬件的基礎(chǔ)設(shè)施，包括服務(wù)器機(jī)器、存儲介質(zhì)、虛擬機(jī)、網(wǎng)絡(luò)和安全設(shè)備等，用戶可以根據(jù)技術(shù)要求安裝操作系統(tǒng)和應(yīng)用程序。中間層PasS建立了安裝某些應(yīng)用或環(huán)境模擬的平臺供用戶使用。用戶將其定制的軟件或應(yīng)用程序放在云計(jì)算環(huán)境中進(jìn)一步使用。SaaS向其客戶提供軟件應(yīng)用程序作為服務(wù)?？蛻衾迷品?wù)提供商的遠(yuǎn)程軟件對數(shù)據(jù)進(jìn)行管理。

3.3 部署模型

部署模型將云架構(gòu)分為私有，公共和混合。私有云模型將整個資源投入到為獲取其資源或服務(wù)付費(fèi)的單個組織中。公共云出售并將其資源池共享給多個組織。混合云通過合并兩個或多個其他云模型來滿足用戶的一些額外的計(jì)算或存儲需求。

3.4 云安全的挑戰(zhàn)

云安全問題主要對用戶造成嚴(yán)重影響，云架構(gòu)的不安全性只對用戶最有價值的數(shù)據(jù)造成威脅。盡管云計(jì)算領(lǐng)域發(fā)展迅速，但目前云模式的安全問題是大部分客戶不愿意采用云技術(shù)的關(guān)鍵因素。影響云安全主要有以下幾個原因：

（1）外包。 在云計(jì)算中，客戶的數(shù)據(jù)和應(yīng)用與服務(wù)提供商處，因此客戶端失去對其的控制，這是客戶最擔(dān)心的問題?？蛻魧ζ鋽?shù)據(jù)沒有控制權(quán)，甚至在某種程度上，有時不知道其數(shù)據(jù)的位置。這就要求用戶對于服務(wù)提供者不僅可信，而且還能夠保護(hù)數(shù)據(jù)的機(jī)密性、完整性、可用性和隱私性。云數(shù)據(jù)處于云服務(wù)提供商提供存儲、軟件、應(yīng)用程序或基礎(chǔ)設(shè)施服務(wù)的訪問風(fēng)險(xiǎn)中。除了來自云服務(wù)提供商的政策外，來自客戶端的規(guī)則也同樣適用于數(shù)據(jù)，假如政策相悖沖突就會發(fā)生。

（2）多租戶。服務(wù)提供商的云平臺實(shí)際上是多個客戶共享平臺。即使在虛擬化環(huán)境情況下，一臺物理主機(jī)也可能存儲不同客戶端的數(shù)據(jù)。在多租戶體系結(jié)構(gòu)中放置在共享存儲上的敏感數(shù)據(jù)暴露對用戶危害極大。當(dāng)數(shù)據(jù)的位置對數(shù)據(jù)所有者是未知的情況下，情況變得更糟。

（3）海量數(shù)據(jù)和超強(qiáng)計(jì)算。云計(jì)算處理的是密集計(jì)算和海量數(shù)據(jù)，因此與傳統(tǒng)的安全措施相比，需要一些特殊的安全策略來保護(hù)它。需要高端網(wǎng)絡(luò)和安全設(shè)備滿足數(shù)據(jù)處理和保護(hù)免受云架構(gòu)攻擊。云的部署和服務(wù)模式及其特點(diǎn)如圖1所示：

圖1.云模型和服務(wù)

4 云計(jì)算環(huán)境中網(wǎng)絡(luò)取證的挑戰(zhàn)

網(wǎng)絡(luò)取證是指相關(guān)專業(yè)人員使用專門設(shè)備收集、保存和分析網(wǎng)絡(luò)流量進(jìn)行調(diào)查的方法。該方法甚至可

以作為網(wǎng)絡(luò)安全模型的補(bǔ)充。該技術(shù)不僅能識別從外部在網(wǎng)絡(luò)上發(fā)起的攻擊的類型和技能，還有助于監(jiān)測內(nèi)部人員的惡意行為。云基礎(chǔ)設(shè)施的海量數(shù)據(jù)處理能力對云環(huán)境中網(wǎng)絡(luò)取證提出嚴(yán)格要求。云計(jì)算體系結(jié)構(gòu)與傳統(tǒng)系統(tǒng)網(wǎng)絡(luò)取證最大區(qū)別是云計(jì)算中的網(wǎng)絡(luò)取證流程是全新的。需要云服務(wù)提供商開發(fā)有效的技術(shù)，以協(xié)助取證調(diào)查。云環(huán)境網(wǎng)絡(luò)取證領(lǐng)域出現(xiàn)的問題至今尚未解決。

4.1 云架構(gòu)對網(wǎng)絡(luò)取證提出的挑戰(zhàn)：

（1） 海量數(shù)據(jù)分析（網(wǎng)絡(luò)流量）。云環(huán)境以網(wǎng)絡(luò)流量的形式傳輸大量數(shù)據(jù)。 技術(shù)的進(jìn)步需要更高帶寬支撐其正常運(yùn)行，從而增加了網(wǎng)絡(luò)流量。通常，網(wǎng)絡(luò)中攜帶有各種類型的數(shù)據(jù)，包括數(shù)據(jù)流量、管理流量、協(xié)議數(shù)據(jù)和存儲在設(shè)備上的日志等。捕獲所有數(shù)據(jù)形成海量數(shù)據(jù)轉(zhuǎn)儲，這需要大量的時間和資源用于后續(xù)分析。具體來說，在云環(huán)境中，網(wǎng)絡(luò)數(shù)據(jù)會倍增，因?yàn)樵瓶赡転槎鄠€客戶端或組織提供服務(wù)，網(wǎng)絡(luò)同時容納所有數(shù)據(jù)。收集和分析數(shù)據(jù)需要網(wǎng)絡(luò)取證中特殊工具和相關(guān)技術(shù)，而傳統(tǒng)技術(shù)和工具因技術(shù)和處理數(shù)據(jù)能力缺陷可能無法正常工作，急需新技術(shù)、開發(fā)工具來替代。

（2）網(wǎng)絡(luò)取證工具的存儲空間限制。捕獲、分析大量的網(wǎng)絡(luò)流量對網(wǎng)絡(luò)取證工具的存儲空間是一個限制。一旦在云環(huán)境中執(zhí)行網(wǎng)絡(luò)取證，多個客戶數(shù)據(jù)就會增加存儲空間問題。為了忽略不相干的流量，取證人員需要采用精確的過濾機(jī)制對相關(guān)流量進(jìn)行分析，并確保數(shù)據(jù)的準(zhǔn)確性不受影響。

（3）訪問云網(wǎng)絡(luò)設(shè)備。電子數(shù)據(jù)取證一般是通過查封設(shè)備或存儲開始調(diào)查，但在云環(huán)境中查封設(shè)備比較困難。取證過程中，盡管云服務(wù)提供商允許訪問網(wǎng)絡(luò)，但需要提供云基礎(chǔ)設(shè)施的國家的法律許可，訪問某個國家的服務(wù)提供者的網(wǎng)絡(luò)需要取得授權(quán)。

（4）訪問云上的數(shù)據(jù)。 客戶的數(shù)據(jù)可能會分布在不同位置的多個存儲介質(zhì)上。數(shù)據(jù)以各種格式存儲在不同區(qū)域服務(wù)提供商的存儲介質(zhì)下，要求取證人員專業(yè)、熟練訪問存儲在網(wǎng)絡(luò)中的數(shù)據(jù)。

4.2 云環(huán)境中網(wǎng)絡(luò)取證挑戰(zhàn)的分類

云環(huán)境中網(wǎng)絡(luò)取證所面臨的挑戰(zhàn)可以由取證人員，云服務(wù)提供商或通過開發(fā)管理工具來處理，但還是存在無法解決的問題。

（1）取證人員。網(wǎng)絡(luò)取證存在的問題可以由取證人員進(jìn)行部分控制。網(wǎng)絡(luò)中的海量數(shù)據(jù)的收集和分析可以通過取證人員的精確過濾進(jìn)行部分優(yōu)化。取證人員通過巧妙地識別除嫌疑人之外的用戶的數(shù)據(jù)，忽略處理網(wǎng)絡(luò)上與用戶不相關(guān)的隱私數(shù)據(jù)。取證人員的知識和技能有助于形成多個數(shù)據(jù)資源的證據(jù)鏈。

（2）取證工具。可以通過提高工具的存儲容量來克服取證工具的存儲空間限制，盡管可以實(shí)現(xiàn)，但高成本成為其普及的障礙。開發(fā)基于云計(jì)算的網(wǎng)絡(luò)取證工具，對特殊領(lǐng)域數(shù)據(jù)針對性提取。

（3）云服務(wù)提供商。云服務(wù)提供商可以使用自定義的腳本或過濾器配置網(wǎng)絡(luò)設(shè)備，使日志內(nèi)容更有價值。云服務(wù)提供商的政策將決定訪問網(wǎng)絡(luò)設(shè)備途徑和存儲數(shù)據(jù)能力。與取證人員及時建立流暢的會話通道，積極提供取證所需相關(guān)信息。

（4）其他?；谠萍軜?gòu)的分布式證據(jù)的性質(zhì)不能改變。一國法律規(guī)定是否支持對網(wǎng)絡(luò)基礎(chǔ)設(shè)備進(jìn)行訪問是一個不容忽視的問題。建立針對云計(jì)算的取證統(tǒng)一標(biāo)準(zhǔn)規(guī)則和流程。

5 結(jié)論

網(wǎng)絡(luò)取證是電子數(shù)據(jù)取證的延伸，是一門科學(xué)的對網(wǎng)絡(luò)流量和網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)捕獲、保存、分析和歸檔的技術(shù)，目的是調(diào)查嫌疑人是否與某項(xiàng)活動相關(guān)。云環(huán)境中網(wǎng)絡(luò)取證，需要專業(yè)技術(shù)和開發(fā)專門取證工具。取證人員應(yīng)熟練掌握云架構(gòu)中的各種網(wǎng)絡(luò)設(shè)備。取證標(biāo)準(zhǔn)的起草對于成功推進(jìn)網(wǎng)絡(luò)取證程序非常有幫助。本文提出的云環(huán)境中網(wǎng)絡(luò)取證的分類，對云環(huán)境中取證問題有所部分改善。

參考文獻(xiàn)

[1]劉浩陽，李錦，劉曉宇.電子數(shù)據(jù)取證[M].北京：清華大學(xué)出版社，2015：6-8.

[2]Sara Hamouda.Security and Privacy in Cloud Computing[C].Cloud Computing Technologies， Applications and []Management.2012：241-245.

[3]Dominik Birk，Christoph Wegener. Technical Issues of Forensic Investigations in Cloud Computing Environments[C]. IEEE Sixth International Workshop.2011：1-10.

作者簡介

李自龍（1987-），男，甘肅古浪人，漢族，甘肅政法學(xué)院碩士學(xué)生，在讀碩士研究生學(xué)歷，研究方向：物證技術(shù)學(xué)。