ICFF：一種IaaS模式下的云取證框架

謝亞龍，丁麗萍，林渝淇，趙曉柯

(1.中國科學(xué)院 軟件研究所 基礎(chǔ)軟件國家工程研究中心，北京 100190；2.中國科學(xué)院 研究生院，北京 100190)

1 引言

隨著云計(jì)算技術(shù)的迅猛發(fā)展，云環(huán)境下的取證技術(shù)成為了當(dāng)前的一個(gè)研究熱點(diǎn)。與傳統(tǒng)的數(shù)字取證技術(shù)不同，云取證所面對的系統(tǒng)結(jié)構(gòu)更加復(fù)雜、數(shù)據(jù)規(guī)模更加巨大。就拿一個(gè)小規(guī)模的云來舉例，假設(shè)該系統(tǒng)中有2 000個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)磁盤空間為320 GB，RAM為2 GB，則總的磁盤取證空間是640 TB，RAM取證空間為4 TB，即使不考慮節(jié)點(diǎn)間操作系統(tǒng)及文件系統(tǒng)的不同，如此龐大的數(shù)據(jù)量是傳統(tǒng)取證技術(shù)無法勝任的。因此，如何從云中獲取完整可靠的證據(jù)數(shù)據(jù)是當(dāng)前云取證研究的難點(diǎn)問題[1]。具體而言，云取證主要面臨以下4大技術(shù)難題。

1) 云中數(shù)據(jù)物理存放地點(diǎn)范圍太大。云數(shù)據(jù)中心由成千上萬臺擁有大容量存儲設(shè)備的PC組成，云系統(tǒng)屏蔽了下層數(shù)據(jù)存儲的實(shí)現(xiàn)細(xì)節(jié)，只對用戶提供一個(gè)邏輯上單一的數(shù)據(jù)存放地址，因此，要想獲得云中數(shù)據(jù)的物理存放地址并非易事[2]。

2) 云應(yīng)用產(chǎn)生的邏輯上相關(guān)的數(shù)據(jù)可能被分散存放。云應(yīng)用所產(chǎn)生的數(shù)據(jù)被統(tǒng)一存儲在邏輯上連續(xù)的地址空間中，而這些數(shù)據(jù)的物理存放地址可能并不連續(xù)，甚至可能被分散在好幾個(gè)不同的存儲設(shè)備中。

3) 待取證數(shù)據(jù)規(guī)模大，而真正與犯罪相關(guān)的信息很少。云中存儲著海量數(shù)據(jù)，從如此大規(guī)模的數(shù)據(jù)中提取證據(jù)信息有如大海撈針。就以IaaS模型舉例，一個(gè)虛擬機(jī)鏡像小則幾 GB，大則幾十至幾百GB，而存儲在這些鏡像中的關(guān)鍵證據(jù)信息可能就只有幾KB。

4) 云的彈性擴(kuò)展機(jī)制要求取證能及時(shí)適應(yīng)系統(tǒng)規(guī)模的變化，即實(shí)現(xiàn)彈性取證[3]。彈性擴(kuò)展是云系統(tǒng)的關(guān)鍵特征，它能在云應(yīng)用運(yùn)行期間實(shí)現(xiàn)支撐云應(yīng)用的虛擬機(jī)實(shí)例個(gè)數(shù)的動態(tài)增加或者減少。當(dāng)虛擬機(jī)實(shí)例個(gè)數(shù)減少時(shí)，若不能及時(shí)提取出殘留在該虛擬機(jī)實(shí)例中的證據(jù)信息，則這些證據(jù)信息很可能會丟失，且難以恢復(fù)[4]。

與傳統(tǒng)的數(shù)字取證技術(shù)相比，云取證技術(shù)面臨的挑戰(zhàn)主要包括2個(gè)方面。首先，沒有成熟的云取證工具供調(diào)查人員使用，云取證活動主要依靠調(diào)查人員掌握的傳統(tǒng)取證技術(shù)及相關(guān)經(jīng)驗(yàn)，若調(diào)查人員操作不當(dāng)很可能會破壞原始證據(jù)信息，從而導(dǎo)致取證失敗。其次，證據(jù)信息的獲取難度及方法會隨著云服務(wù)模型及部署模型的不同而不同[5]。例如，相對于公有云而言，私有云架構(gòu)更加清晰、云數(shù)據(jù)的存放節(jié)點(diǎn)地點(diǎn)固定，因此私有云模式下的取證難度遠(yuǎn)小于公有云；相對于軟件即服務(wù) (SaaS, software as a service)模型而言，IaaS模型能提供更多底層的數(shù)據(jù)供調(diào)查人員取證分析，因此IaaS模型下的取證難度會小于SaaS模型。

目前，國內(nèi)外學(xué)者對于云取證的研究主要包括3個(gè)方面：1) 研發(fā)應(yīng)用于用戶端的證據(jù)提取工具，該工具主要用于獲取用戶使用云應(yīng)用時(shí)所產(chǎn)生的證據(jù)數(shù)據(jù)；2) 探索特定的云平臺在遭受不同攻擊時(shí)的取證方法；3) 將云系統(tǒng)中的虛擬機(jī)實(shí)例作為主要取證分析對象，解決虛擬機(jī)實(shí)例遷移過程中的數(shù)據(jù)保全問題。上述研究中，第1種方法所獲取的證據(jù)數(shù)據(jù)非常有限，得進(jìn)一步獲取云服務(wù)端的證據(jù)數(shù)據(jù)；第2種方法通用性較差；第3種方法在虛擬機(jī)實(shí)例被惡意破壞時(shí)就會失效。

本文給出了一個(gè) IaaS云模型下的取證框架ICFF，并在開源 IaaS云平臺 Eucalyptus[6,7]中進(jìn)行了實(shí)現(xiàn)。通過實(shí)驗(yàn)研究證明了該框架能夠有效解決云取證中的4大技術(shù)難題。

2 相關(guān)工作分析

云計(jì)算的推出帶來了云安全問題，云安全成了云計(jì)算發(fā)展的瓶頸。因此，作為與云安全相對應(yīng)的云取證也成了關(guān)注的焦點(diǎn)。在CSA發(fā)布的《云計(jì)算關(guān)鍵領(lǐng)域安全指南V3.0》上把云取證作為一項(xiàng)關(guān)系云計(jì)算發(fā)展的重大問題所提出。Keyun等人對150多位數(shù)字取證專家進(jìn)行了采訪，列舉出了他們對云取證領(lǐng)域的一些關(guān)鍵問題的看法，如云取證技術(shù)面臨著哪些挑戰(zhàn)、帶來了哪些機(jī)遇，有哪些有價(jià)值的研究方向等[8]。Birk等人從技術(shù)的角度剖析了云取證所面臨的技術(shù)難題[5]，而Reilly等人則從法律的角度分析了云取證技術(shù)所面臨的法律障礙[9]。

OWADE[10]宣稱是第一個(gè)云取證工具，由斯坦福大學(xué)的Elie Bursztein教授于2011年在黑帽(black hat)大會上提出。Elie Bursztein認(rèn)為云服務(wù)的接入端應(yīng)當(dāng)包含有大量證據(jù)信息，因此他設(shè)計(jì)的OWADE工具主要用于用戶端的證據(jù)提取。該工具目前僅支持 Windows系統(tǒng)，能對主流的瀏覽器如Chrome、Internet Explorer、Firefox及Safari進(jìn)行證據(jù)提取和分析，并能獲得當(dāng)前主流即時(shí)通信軟件如Skype、Google Gtalk及MSN的本地聊天記錄。雖然該工具在用戶端能提取到用戶使用諸如Skype等云服務(wù)的證據(jù)信息，但是這些信息非常有限且很容易遭到犯罪分子的惡意破壞，因此還需與CSP端提取到的證據(jù)一起組成完整的證據(jù)鏈。

Zafarullah等人針對開源云平臺 Eucalyptus環(huán)境下的取證技術(shù)進(jìn)行了研究[11]。首先，他們在云系統(tǒng)內(nèi)部部署了2臺攻擊源主機(jī)；然后，利用上述主機(jī)對云控制器 (CLC, cloud controller) 節(jié)點(diǎn)發(fā)起DoS/DDoS攻擊，耗盡CLC節(jié)點(diǎn)的CPU、內(nèi)存及網(wǎng)絡(luò)帶寬等資源，致使 Eucalyptus無法開啟新的虛擬機(jī)實(shí)例，無法及時(shí)對終端用戶的請求進(jìn)行響應(yīng)；最后，從Syslog、Snort等日志記錄中查找本次攻擊的來源。Zafarullah總的研究思路就是先對Eucalyptus進(jìn)行攻擊，然后針對該類型的攻擊尋找相應(yīng)的取證方法。雖然作者提出的方法對特定類型攻擊的取證調(diào)查有較強(qiáng)的借鑒意義，但還存在2點(diǎn)不足：首先，網(wǎng)絡(luò)攻擊的方式多種多樣且不斷變化，對每一種攻擊都提出一種取證方案的可行性不大且沒有必要；其次，對于那些符合云系統(tǒng)安全規(guī)則所產(chǎn)生的數(shù)字證據(jù)，作者并沒有提出有效的提取方法。

華中科技大學(xué)的周剛博士提出了一種以現(xiàn)場遷移技術(shù)為基礎(chǔ)的云取證方法，該方法將虛擬機(jī)實(shí)例視為取證分析對象[12]。當(dāng)有取證需求時(shí)，將待取證虛擬機(jī)實(shí)例遷移至本地，在遷移過程中，對虛擬機(jī)實(shí)例的內(nèi)存映射、網(wǎng)絡(luò)連接等易失性數(shù)據(jù)進(jìn)行了保全，然后將該虛擬機(jī)實(shí)例在本地進(jìn)行加載，最后利用一些傳統(tǒng)的取證工具在虛擬機(jī)實(shí)例中進(jìn)行取證。該方法雖然能有效地從正常運(yùn)行的虛擬機(jī)實(shí)例中獲得證據(jù)數(shù)據(jù)，但當(dāng)虛擬機(jī)實(shí)例被用戶惡意破壞無法加載時(shí)，該方法就會失效。

本文對云計(jì)算及其安全和取證進(jìn)行了全面的分析研究。首先，對虛擬機(jī)技術(shù)進(jìn)行了研究，剖析了其實(shí)現(xiàn)已有的安全模型、面臨的安全威脅和安全防護(hù)及取證等機(jī)制；其次，對針對Xen虛擬機(jī)的入侵技術(shù)進(jìn)行了研究，特別是Blue Pill等較為致命的入侵技術(shù)及其防范技術(shù)進(jìn)行了深入研究，提出了采用DMA技術(shù)進(jìn)行防范的方法，實(shí)現(xiàn)了對Xen的超級調(diào)用的審計(jì)；第三，研究了基于虛擬機(jī)的隱蔽信道通信機(jī)制并提出了隱蔽信道的標(biāo)識方法[13,14]。

因此，基于對虛擬機(jī)的研究，本文提出的方法和國內(nèi)外其他相關(guān)研究相比有以下優(yōu)勢。

1) 具有完整性保護(hù)能力。在取證框架中設(shè)計(jì)了一系列的安全保護(hù)機(jī)制，能夠有效應(yīng)對惡意用戶或惡意軟件對該框架發(fā)起的干擾，有效防止惡意用戶篡改、刪除證據(jù)數(shù)據(jù)，從而保證了證據(jù)的完整性。此外，當(dāng)某個(gè)虛擬機(jī)(VM, virtual machine)被惡意破壞且無法修復(fù)時(shí)，能保證對該VM的取證不受影響。

2) 具備彈性擴(kuò)展能力。實(shí)現(xiàn)了取證力度伴隨VM 的規(guī)模變化而變化。將“證據(jù)抓取器”與 VM綁定在一起，當(dāng)VM的數(shù)量增加或減少時(shí)，“證據(jù)抓取器”能及時(shí)地將VM中的證據(jù)數(shù)據(jù)轉(zhuǎn)移到專用的取證虛擬機(jī)中。

3) 取證效率高。訓(xùn)練出的“證據(jù)抓取器”實(shí)時(shí)抓取VM中的證據(jù)數(shù)據(jù)，避免了對VM中所有數(shù)據(jù)及云中所有VM的取證。能對“證據(jù)抓取器”進(jìn)行靜態(tài)、動態(tài)配置，限定其數(shù)據(jù)抓取范圍，從而避免了對VM中的常規(guī)系統(tǒng)文件等無關(guān)數(shù)據(jù)的取證，提高了取證效率。

3 ICFF的設(shè)計(jì)與實(shí)現(xiàn)

3.1 Xen簡介

虛擬化技術(shù)是云計(jì)算的關(guān)鍵技術(shù)。當(dāng)前一些主流的云平臺均基于Xen進(jìn)行實(shí)現(xiàn)，如Amazon EC2、Eucalyptus、Xen Cloud Platform等。本文提出的取證框架ICFF也是基于Xen進(jìn)行設(shè)計(jì)實(shí)現(xiàn)的。

Xen[15]是一個(gè)開源虛擬機(jī)監(jiān)控器，其體系結(jié)構(gòu)如圖1所示。由圖1可知，Xen直接運(yùn)行在物理硬件之上，并向上層操作系統(tǒng)提供虛擬化環(huán)境。每一個(gè)運(yùn)行在Xen之上的虛擬機(jī)均被稱為一個(gè)虛擬域，虛擬域又可分為特權(quán)域Domain0及非特權(quán)域DomainU，特權(quán)域擁有硬件設(shè)備驅(qū)動并提供非特權(quán)域的管理接口。Xen同時(shí)支持半虛擬化和全虛擬化，半虛擬化需要修改客戶操作系統(tǒng)(guest OS)源碼，而全虛擬化則不需修改系統(tǒng)源碼，但需有諸如 Intel VT、AMD-V等硬件虛擬化技術(shù)的CPU的支持。

圖1 Xen體系結(jié)構(gòu)

3.2 整體架構(gòu)

如圖2所示，整個(gè)取證框架由4個(gè)部分組成：位于取證虛擬機(jī)(FVM, forensic virtual machine)中的證據(jù)保護(hù)及分析模塊、證據(jù)提取模塊，位于虛擬服務(wù)器中的證據(jù)抓取器(EC, evidence crawler)，位于Xen Hypervisor中的實(shí)時(shí)取證模塊。其中，F(xiàn)VM為云平臺服務(wù)商所有，并不向公眾提供服務(wù)，僅用來保存及分析收集到的證據(jù)數(shù)據(jù)并提供查詢接口；虛擬服務(wù)器為云平臺服務(wù)商所提供的租用對象，供個(gè)人或企業(yè)租用。

圖2 取證框架系統(tǒng)架構(gòu)

1) 證據(jù)保護(hù)及分析模塊：本模塊向EC下達(dá)證據(jù)收集命令(圖 2中的①)，分析現(xiàn)有證據(jù)并根據(jù)分析結(jié)果通知實(shí)時(shí)取證模塊獲取與虛擬服務(wù)器相關(guān)的實(shí)時(shí)證據(jù)數(shù)據(jù)(圖2中的④)。

2) 證據(jù)抓取器：收集虛擬服務(wù)器中的證據(jù)數(shù)據(jù)并發(fā)送給FVM(圖2中的②)。

3) 實(shí)時(shí)取證模塊：截獲虛擬服務(wù)器中的VM Exit指令，獲取其系統(tǒng)中正在運(yùn)行的進(jìn)程信息(圖2中的③)，將獲取的上述數(shù)據(jù)發(fā)送給 FVM(圖 2中的⑤)。

4) 證據(jù)提取模塊：供調(diào)查人員使用，是 FVM對外的唯一接口。負(fù)責(zé)接收調(diào)查人員的證據(jù)提取命令(圖2中的⑥)，將上述命令轉(zhuǎn)換為統(tǒng)一規(guī)則的查詢語句后發(fā)送給證據(jù)保護(hù)及分析模塊(圖 2中的⑦)，等待分析模塊回傳符合需求的證據(jù)數(shù)據(jù)(圖2中的⑧)，將證據(jù)數(shù)據(jù)的副本傳輸給調(diào)查人員(圖2中的⑨)。

3.3 證據(jù)抓取器

EC的任務(wù)是從虛擬服務(wù)器中識別并抓取證據(jù)數(shù)據(jù)，然后將證據(jù)數(shù)據(jù)傳輸至FVM中。EC結(jié)構(gòu)如圖3所示。

1) 激活

在抓取證據(jù)之前需先將EC激活，激活方式如下。①定時(shí)激活，在某個(gè)時(shí)間點(diǎn)或每隔一個(gè)時(shí)間段將抓取器激活；②通過遠(yuǎn)程命令激活；③事件激活，當(dāng)虛擬服務(wù)器系統(tǒng)出現(xiàn)特定事件(如有用戶登錄)時(shí)激活。在VM未受到惡意攻擊之前，EC所抓取的證據(jù)數(shù)據(jù)尚未被修改，能被法庭所認(rèn)可。而當(dāng)VM被黑客攻破后，黑客能任意篡改該VM中的數(shù)據(jù)，此時(shí)獲取的證據(jù)數(shù)據(jù)已不再具有法律效力。因此，需在黑客嘗試攻擊VM階段及時(shí)激活抓取器，完成證據(jù)轉(zhuǎn)移工作。

黑客要想對某個(gè)VM發(fā)起攻擊，其首先得發(fā)現(xiàn)該VM中系統(tǒng)的現(xiàn)有漏洞，然后針對該漏洞使用專門的攻擊方法。在黑客進(jìn)行漏洞掃描、遠(yuǎn)程入侵過程中均會引發(fā)一系列的系統(tǒng)事件，如特定網(wǎng)絡(luò)端口掃描事件、應(yīng)用程序緩沖區(qū)溢出錯誤事件、系統(tǒng)用戶登錄事件等。因此，對這些事件進(jìn)行監(jiān)聽并及時(shí)激活EC，能實(shí)現(xiàn)對黑客入侵全過程的取證。

2) 證據(jù)識別及抓取

證據(jù)數(shù)據(jù)的智能識別需結(jié)合人工智能技術(shù)來實(shí)現(xiàn)，本文根據(jù)日常取證經(jīng)驗(yàn)，對 Windows及Linux平臺中證據(jù)數(shù)據(jù)的存在形式、存放路徑進(jìn)行了歸納，并將這些知識形成了統(tǒng)一的規(guī)則提供給EC。

證據(jù)數(shù)據(jù)的抓取范圍可以通過以下2種方式來設(shè)定：①通過配置文件指定證據(jù)數(shù)據(jù)的路徑；②通過遠(yuǎn)程命令實(shí)時(shí)指定待抓取數(shù)據(jù)的類型、路徑、特征等。第1種方式常用于提取常規(guī)證據(jù)數(shù)據(jù)，如操作系統(tǒng)日志、應(yīng)用軟件(如Web服務(wù)器、數(shù)據(jù)庫)日志、非日志形式的敏感文件等；第2種方式則是第1種方式的一個(gè)補(bǔ)充，實(shí)時(shí)接收并完成來至其他模塊的取證需求。

圖3 EC結(jié)構(gòu)

3.4 實(shí)時(shí)取證模塊

實(shí)時(shí)取證模塊隨著Xen啟動而啟動，負(fù)責(zé)全程記錄VM中進(jìn)程的執(zhí)行情況，所記錄的信息包括時(shí)間戳、VM的ID號、進(jìn)程名、進(jìn)程ID號。上述記錄信息可以作為黑客入侵行為的有效證據(jù)，同時(shí)對黑客入侵方法及入侵過程的分析也極具參考意義。

對于那些使用Linux內(nèi)核的Guest OS，可以將進(jìn)程監(jiān)控模塊嵌入到其內(nèi)核源碼中，然后注冊一個(gè)事件通道號，用于Guest OS與Xen之間通信，最后通過共享內(nèi)存的方式將獲取的進(jìn)程記錄信息傳遞到Xen中。

若不想修改Guest OS內(nèi)核源碼，則需使用硬件虛擬化技術(shù)。實(shí)現(xiàn)原理如圖4所示，Guest OS中任一進(jìn)程切換時(shí)，都需將新進(jìn)程的頁表基地址寫入到特權(quán)寄存器CR3，此時(shí)CPU會發(fā)生VM Exit，陷入到Xen中。具體實(shí)現(xiàn)步驟如下。

1) 在Xen中捕獲CPU嵌入指令VM Exit。

2) 設(shè)置Hook函數(shù)獲取CR3寄存器的值。

3) 從相應(yīng) VM 的堆棧中獲取進(jìn)程描述符(PD,process descriptor)。

4) 從PD中獲取進(jìn)程ID及進(jìn)程名，將上述進(jìn)程信息及Xen中統(tǒng)一時(shí)間戳寫入記錄表。

圖4 實(shí)時(shí)取證模塊原理

3.5 證據(jù)保護(hù)及分析模塊

該模塊負(fù)責(zé)接收由EC傳輸過來的證據(jù)數(shù)據(jù)，然后對這些數(shù)據(jù)進(jìn)行校驗(yàn)、保護(hù)及分析。

3.5.1 證據(jù)保護(hù)

云計(jì)算環(huán)境下的不安全因素較多，有來至云系統(tǒng)內(nèi)部的安全威脅，也有來至云系統(tǒng)外部(如互聯(lián)網(wǎng))的安全威脅。為了提高該取證框架的抗干擾能力，保障證據(jù)數(shù)據(jù)的完整性及機(jī)密性，特設(shè)計(jì)了以下安全機(jī)制。

1) 證據(jù)數(shù)據(jù)的傳輸校驗(yàn)機(jī)制

設(shè)計(jì)傳輸校驗(yàn)機(jī)制主要有3個(gè)目的：①確保證據(jù)數(shù)據(jù)傳輸過程中不被篡改；②確保證據(jù)數(shù)據(jù)的內(nèi)容不會被非法用戶獲取；③確保證據(jù)數(shù)據(jù)不能被偽造。

在本取證框架中，引入了數(shù)字證書機(jī)制，由云平臺服務(wù)商給FVM及EC頒發(fā)證書。EC抓取到證據(jù)數(shù)據(jù)后，首先利用 MD5算法生成校驗(yàn)值，然后將上述證據(jù)數(shù)據(jù)及校驗(yàn)數(shù)據(jù)組裝成證據(jù)數(shù)據(jù)分組，隨后利用該EC的數(shù)字證書對數(shù)據(jù)分組進(jìn)行簽名并加密，最后通過網(wǎng)絡(luò)將其發(fā)送至FVM。

FVM收到EC傳輸過來的數(shù)據(jù)分組時(shí)，首先將其解密，然后獲取該數(shù)據(jù)分組的數(shù)字簽名，若該簽名與VM中EC的證書不符，則說明該數(shù)據(jù)分組是由VM中其他惡意程序所偽造，進(jìn)而表明該VM已被惡意用戶控制。數(shù)字簽名驗(yàn)證通過后，再對證據(jù)數(shù)據(jù)進(jìn)行校驗(yàn)，若校驗(yàn)不通過，則說明證據(jù)數(shù)據(jù)分組傳輸過程中存在分組丟失現(xiàn)象，需將該證據(jù)數(shù)據(jù)分組丟棄并要求EC重傳。整個(gè)流程如圖5所示。

圖5 證據(jù)數(shù)據(jù)傳輸校驗(yàn)流程

2) 對EC的保護(hù)機(jī)制

EC的角色至關(guān)重要，只有它正確運(yùn)行才能保證FVM能源源不斷地獲得證據(jù)數(shù)據(jù)。因此，需設(shè)計(jì)一種檢測機(jī)制，用于判定EC是否被其他惡意程序所干擾。干擾方式有2種：一是阻止EC運(yùn)行；二是阻礙EC抓取及傳輸證據(jù)數(shù)據(jù)。相應(yīng)的檢測機(jī)制如圖6所示。

圖6 EC保護(hù)流程

FVM定時(shí)向VM中的EC發(fā)送請求報(bào)文，EC收到請求后需及時(shí)響應(yīng)，并利用其數(shù)字證書對響應(yīng)數(shù)據(jù)進(jìn)行簽名。若FVM未收到響應(yīng)數(shù)據(jù)，或從響應(yīng)數(shù)據(jù)中提取的簽名與EC本身的證書不符，則可認(rèn)為EC程序已被惡意程序所終止。

FVM中的數(shù)據(jù)接收程序?qū)γ總€(gè)EC的證據(jù)抓取行為進(jìn)行了記錄，并按照時(shí)間段對EC的抓取次數(shù)、抓取數(shù)據(jù)量進(jìn)行了統(tǒng)計(jì)，當(dāng)EC在某個(gè)時(shí)間段的行為嚴(yán)重偏離了統(tǒng)計(jì)值時(shí)，認(rèn)為有惡意程序阻礙其抓取或傳輸證據(jù)數(shù)據(jù)。

3) FVM中的證據(jù)保護(hù)機(jī)制

FVM中存放著大量的證據(jù)信息，為了確保這些證據(jù)數(shù)據(jù)不被惡意用戶篡改，需設(shè)計(jì)有效的保護(hù)機(jī)制抵御以下2種威脅：①來至云系統(tǒng)內(nèi)部其他VM的威脅；②來至FVM系統(tǒng)內(nèi)部其他應(yīng)用程序的威脅。Xen系統(tǒng)中，Hypervisor層實(shí)現(xiàn)了VM間的安全隔離機(jī)制，某一VM中的惡意程序無法篡改其他VM中的數(shù)據(jù)，這就有效抵御了第1種威脅，這也正是本文設(shè)置FVM并將證據(jù)保護(hù)及分析模塊安插在FVM中的主要原因。對于第2種威脅，采用了以下抵御策略：在FVM中對強(qiáng)制訪問控制機(jī)制進(jìn)行了配置，只有證據(jù)接收進(jìn)程擁有證據(jù)數(shù)據(jù)的寫操作權(quán)限，除證據(jù)接收、分析、提取進(jìn)程外，其他進(jìn)程均不能讀取證據(jù)數(shù)據(jù)。

3.5.2 證據(jù)分析

證據(jù)數(shù)據(jù)收集完成后，可利用數(shù)據(jù)挖掘技術(shù)對這些數(shù)據(jù)進(jìn)行分析，實(shí)時(shí)發(fā)現(xiàn)云系統(tǒng)中出現(xiàn)的一些安全問題[16,17]。證據(jù)的智能分析技術(shù)較為復(fù)雜，為了盡可能地精簡本取證框架，只實(shí)現(xiàn)了對來自云系統(tǒng)內(nèi)部的拒絕服務(wù)式攻擊的智能檢測，并預(yù)留了證據(jù)智能分析接口。智能分析作為未來工作去完成。

4 實(shí)驗(yàn)驗(yàn)證

4.1 實(shí)驗(yàn)環(huán)境

為了驗(yàn)證本文提出的方法，本文搭建了開源云平臺 Eucalyptus，之所以選擇該平臺，是因?yàn)镋ucalyptus是一個(gè)與Amazon EC2兼容的IaaS系統(tǒng)，具有較強(qiáng)的代表性。整個(gè)云系統(tǒng)由5臺相同配置的PC機(jī)構(gòu)成，每臺PC均配有Intel Core i7 860@2.8GHz CPU、4 GB內(nèi)存、500 GB硬盤，運(yùn)行32bit的Fedora 12操作系統(tǒng)。其中，1臺PC作為Eucalyptus的前端節(jié)點(diǎn)，運(yùn)行著云控制器CLC、集群控制器CC、存儲控制器SC及walrus組件，其余4臺則為實(shí)際的計(jì)算節(jié)點(diǎn)，運(yùn)行著節(jié)點(diǎn)控制器NC組件。

Eucalyptus平臺上共運(yùn)行 7個(gè)虛擬機(jī)實(shí)例：1個(gè)FVM，3個(gè)搭載Windows Server 2003操作系統(tǒng)的VM，3個(gè)搭載Fedora 10操作系統(tǒng)的VM。除FVM外，其他VM均向外提供Web服務(wù)。

4.2 攻擊方法

Windows Server 2003系統(tǒng)中存在一個(gè)設(shè)計(jì)上的漏洞(CVE-2008-4250)[18]，惡意用戶通過構(gòu)造一個(gè)特殊的遠(yuǎn)程RPC請求，則可遠(yuǎn)程執(zhí)行其構(gòu)造的任意代碼。在實(shí)驗(yàn)過程中，利用該漏洞對云中的VM發(fā)起攻擊，具體步驟如下。

1) 利用滲透工具 Metasploit構(gòu)造特殊 PRC請求，獲得目標(biāo)機(jī)VM01的System用戶權(quán)限并開啟4444端口。

2) 遠(yuǎn)程登錄VM01，開啟命令行程序cmd.exe。

3) 從VM01中登錄事先搭建好的FTP服務(wù)器，從該服務(wù)器中下載漏洞掃描工具、“灰鴿子”木馬。

4) 在 VM01中執(zhí)行漏洞掃描工具，獲取云平臺中其他VM可能存在的系統(tǒng)漏洞信息。

5) 在 VM01中安裝“灰鴿子”木馬，刪除其系統(tǒng)日志。

4.3 證據(jù)提取

在上述攻擊過程中，黑客最終刪除了VM01中的系統(tǒng)日志并安裝了木馬，將該機(jī)器變成了“肉機(jī)”，并可以將該機(jī)器作為跳板對整個(gè)云系統(tǒng)發(fā)起攻擊。黑客的上述操作嚴(yán)重破壞了 VM01中的證據(jù)數(shù)據(jù)，致使傳統(tǒng)的取證方法無法從該機(jī)器中獲得完整及可靠的證據(jù)信息。

本文所述的取證框架能實(shí)時(shí)獲取VM01中的證據(jù)數(shù)據(jù)，在取證虛擬機(jī)FVM中，與VM01相關(guān)的部分證據(jù)數(shù)據(jù)如表1所示。由表1可知：黑客構(gòu)造的RPC請求會致使瀏覽器服務(wù)意外終止；攻擊源主機(jī)的IP地址為192.168.1.110；攻擊源主機(jī)所屬的源工作站為VvvWoTb5JVSKTJD。

表1 EC獲取的部分證據(jù)數(shù)據(jù)

實(shí)時(shí)取證模塊中的部分證據(jù)數(shù)據(jù)如表2所示，由該表可以得到黑客入侵系統(tǒng)后所進(jìn)行的操作：首先啟動cmd.exe，然后執(zhí)行ftp.exe下載部分惡意工具，其次執(zhí)行漏洞掃描 sfind.exe，最后安裝木馬G_Server.exe。

表2 實(shí)時(shí)取證模塊中部分證據(jù)數(shù)據(jù)

由上述證據(jù)數(shù)據(jù)可知，本文不但獲得了黑客所屬工作站、IP地址等關(guān)鍵信息，還通過實(shí)時(shí)取證模塊得到了其入侵系統(tǒng)后所運(yùn)行的進(jìn)程信息，由這些進(jìn)程信息所推導(dǎo)出的黑客攻擊步驟與上一節(jié)中所述的攻擊步驟完全一致，也進(jìn)一步證明了 ICFF框架的有效性。

4.4 證據(jù)數(shù)據(jù)的規(guī)模

ICFF框架所獲取證據(jù)數(shù)據(jù)的規(guī)模與用戶的具體配置相關(guān)，在默認(rèn)配置條件下，框架只自動抓取VM系統(tǒng)的日志及審計(jì)信息。通過實(shí)驗(yàn)發(fā)現(xiàn)，每個(gè)VM每天平均產(chǎn)生2 239 KB的日志及審計(jì)數(shù)據(jù)。在本節(jié)所述的實(shí)驗(yàn)中，就是通過分析上述2 MB左右的證據(jù)數(shù)據(jù)獲得了黑客的IP地址等關(guān)鍵信息，從而避免了對整個(gè)虛擬機(jī)鏡像(每個(gè)鏡像平均8.23GB)的取證，提高了取證效率。

5 結(jié)束語

本文分析了云環(huán)境下數(shù)字取證技術(shù)所面臨的挑戰(zhàn)和難題，提出了一種 IaaS云服務(wù)模型下的取證框架ICFF。在該框架中，訓(xùn)練了一種在Windows及Linux平臺中正常工作的智能證據(jù)抓取器，該抓取器能夠自動地從虛擬機(jī)中抓取證據(jù)數(shù)據(jù)；設(shè)置了一個(gè)專門用來存儲、分析證據(jù)信息的取證虛擬機(jī)FVM；設(shè)計(jì)了一套安全保護(hù)機(jī)制，能有效提高該取證框架的抗干擾能力，保障證據(jù)數(shù)據(jù)的完整性及機(jī)密性。將該框架在開源 IaaS云平臺 Eucalyptus中進(jìn)行了實(shí)現(xiàn)，并設(shè)計(jì)實(shí)驗(yàn)進(jìn)行了驗(yàn)證分析。實(shí)驗(yàn)表明，該框架能夠有效并快速地獲取云平臺中的證據(jù)數(shù)據(jù)，并能對取證系統(tǒng)和證據(jù)數(shù)據(jù)進(jìn)行有效保護(hù)。在下一步工作中，將增強(qiáng)實(shí)時(shí)取證模塊的功能，增加對 VM 內(nèi)存的實(shí)時(shí)取證，完成對證據(jù)數(shù)據(jù)的智能分析。另外，還進(jìn)一步研究PaaS及SaaS云服務(wù)模型下的取證方法。

[1] SIMSON L G.Digital forensics research: the next 10 years[J].Digital Investigation, 2010, (7): 64-73.

[2] WOLTHUSEN S D.Overcast: forensic discovery in cloud environments[A].The 5th International Conference on IT Security Incident Manage ment and IT Forensics[C].Stuttgart, 2009.3-9.

[3] KEYUN R, JOE C, TAHAR K,et al.Cloud forensics: an overview[A].7th IFIP Conference on Digital Forensics[C].Florida, USA, 2011.35-46.

[4] BIGGS S, VIDALIS S.Cloud computing: the impact on digital forensic investigations[A].International Conference for Internet Technology and Secured Transactions[C].London, Engloud, 2009.1-6.

[5] BIRK D, WEGENER C.Technical issues of forensic investigations in cloud computing environments[A].IEEE 6th International Workshop on Systematic Approaches to Digital Forensic Engineering[C].Oakland, 2011.1-10.

[6] Eucalyptus[EB/OL].http://www.eucalyptus.com/.

[7] NURMI D, WOLSKI R, GRZEGORCZYK C,et al.The eucalyptus open-source cloud-computing system[A].IEEE/ACM International Symposium on Cluster Computing and the Grid[C].Shanghai, China, 2009.124-131.

[8] KEYUN R, IBRAHIM B, JOE C,et al.Survey on cloud forensics and critical criteria for cloud forensic capability: a preliminary analysis[A].Proceedings of the ADFSL Conference on Digital Forensics, Security and Law[C].Virginia, USA, 2011.105-121.

[9] REILLY D, WREN C, BERRY T.Cloud computing: forensic challenges for law enforcement[A].International Conference for Internet Technology and Secured Transactions[C].London, Engloud, 2010.1-7.

[10] ELIE B, IVAN F, MATTHIEU M,et al.Doing forensics in the cloud age OWADE: beyond files recovery forensic[A].Black Hat[C].Las-Vegas, USA, 2011.1-23.

[11] ZAFARULLAH Z, ANWAR F, ANWAR Z.Digital forensics for eucalyptus[A].Frontiers of Information Technology[C].Islamabad,2011.110-116.

[12] 周剛.云計(jì)算環(huán)境中面向取證的現(xiàn)場遷移技術(shù)研究[D].武漢:華中科技大學(xué), 2011.ZHOU G.Research on Scene Migration of Computer Forensics in Cloud Computing Environment[D].Wuhan: Huazhong University Science and Technology, 2011.

[13] WU J Z, DING L P, WANG Y J,et al.Identification and evaluation of sharing memory covert timing channel in xen virtual machines[A].IEEE 4th Conference on Cloud Computing[C].Washington DC, USA,2011.283-291.

[14] WU J Z, DING L P, LIN Y Q,et al.Xenpump: a new method to mitigate timing channel in cloud computing[A].IEEE 5th Conference on Cloud Computing[C].Hawaii, USA, 2012.678-685.

[15] PAUL B, BORIS D, KEIR F,et al.Xen and the art of virtualization[A].Proceedings of the Nineteenth ACM Symposium on Operating Systems Principles[C].New York, USA, 2003.164-177.

[16] XU W, HUANG L, FOX A,et al.Detecting large-scale system problems by mining console logs[A].Proceedings of the ACM SIGOPS 22nd Symposium on Operating Systems Priciples[C].New York, USA,2009.117-132.

[17] HU Z B, SU J, SHIROCHIN V P.An intelligent lightweight intrusion detection system with forensics technique[A].4th IEEE Workshop on Intelligent Data Acquisition and Advanced Computing Systems:Technology and Applications[C].Dortmund, 2007.647-651.

[18] CVE-2008-4250[EB/OL].http://www.cve.mitre.org/cgi-bin/cvename.cgi?name =CVE-2008- 4250.