ICFF：一種IaaS模式下的云取證框架

謝亞龍，丁麗萍，林渝淇，趙曉柯

(1.中國科學院 軟件研究所 基礎軟件國家工程研究中心，北京 100190；2.中國科學院 研究生院，北京 100190)

1 引言

隨著云計算技術的迅猛發展，云環境下的取證技術成為了當前的一個研究熱點。與傳統的數字取證技術不同，云取證所面對的系統結構更加復雜、數據規模更加巨大。就拿一個小規模的云來舉例，假設該系統中有2 000個節點，每個節點磁盤空間為320 GB，RAM為2 GB，則總的磁盤取證空間是640 TB，RAM取證空間為4 TB，即使不考慮節點間操作系統及文件系統的不同，如此龐大的數據量是傳統取證技術無法勝任的。因此，如何從云中獲取完整可靠的證據數據是當前云取證研究的難點問題[1]。具體而言，云取證主要面臨以下4大技術難題。

1) 云中數據物理存放地點范圍太大。云數據中心由成千上萬臺擁有大容量存儲設備的PC組成，云系統屏蔽了下層數據存儲的實現細節，只對用戶提供一個邏輯上單一的數據存放地址，因此，要想獲得云中數據的物理存放地址并非易事[2]。

2) 云應用產生的邏輯上相關的數據可能被分散存放。云應用所產生的數據被統一存儲在邏輯上連續的地址空間中，而這些數據的物理存放地址可能并不連續，甚至可能被分散在好幾個不同的存儲設備中。

3) 待取證數據規模大，而真正與犯罪相關的信息很少。云中存儲著海量數據，從如此大規模的數據中提取證據信息有如大海撈針。就以IaaS模型舉例，一個虛擬機鏡像小則幾 GB，大則幾十至幾百GB，而存儲在這些鏡像中的關鍵證據信息可能就只有幾KB。

4) 云的彈性擴展機制要求取證能及時適應系統規模的變化，即實現彈性取證[3]。彈性擴展是云系統的關鍵特征，它能在云應用運行期間實現支撐云應用的虛擬機實例個數的動態增加或者減少。當虛擬機實例個數減少時，若不能及時提取出殘留在該虛擬機實例中的證據信息，則這些證據信息很可能會丟失，且難以恢復[4]。

與傳統的數字取證技術相比，云取證技術面臨的挑戰主要包括2個方面。首先，沒有成熟的云取證工具供調查人員使用，云取證活動主要依靠調查人員掌握的傳統取證技術及相關經驗，若調查人員操作不當很可能會破壞原始證據信息，從而導致取證失敗。其次，證據信息的獲取難度及方法會隨著云服務模型及部署模型的不同而不同[5]。例如，相對于公有云而言，私有云架構更加清晰、云數據的存放節點地點固定，因此私有云模式下的取證難度遠小于公有云；相對于軟件即服務 (SaaS, software as a service)模型而言，IaaS模型能提供更多底層的數據供調查人員取證分析，因此IaaS模型下的取證難度會小于SaaS模型。

目前，國內外學者對于云取證的研究主要包括3個方面：1) 研發應用于用戶端的證據提取工具，該工具主要用于獲取用戶使用云應用時所產生的證據數據；2) 探索特定的云平臺在遭受不同攻擊時的取證方法；3) 將云系統中的虛擬機實例作為主要取證分析對象，解決虛擬機實例遷移過程中的數據保全問題。上述研究中，第1種方法所獲取的證據數據非常有限，得進一步獲取云服務端的證據數據；第2種方法通用性較差；第3種方法在虛擬機實例被惡意破壞時就會失效。

本文給出了一個 IaaS云模型下的取證框架ICFF，并在開源 IaaS云平臺 Eucalyptus[6,7]中進行了實現。通過實驗研究證明了該框架能夠有效解決云取證中的4大技術難題。

2 相關工作分析

云計算的推出帶來了云安全問題，云安全成了云計算發展的瓶頸。因此，作為與云安全相對應的云取證也成了關注的焦點。在CSA發布的《云計算關鍵領域安全指南V3.0》上把云取證作為一項關系云計算發展的重大問題所提出。Keyun等人對150多位數字取證專家進行了采訪，列舉出了他們對云取證領域的一些關鍵問題的看法，如云取證技術面臨著哪些挑戰、帶來了哪些機遇，有哪些有價值的研究方向等[8]。Birk等人從技術的角度剖析了云取證所面臨的技術難題[5]，而Reilly等人則從法律的角度分析了云取證技術所面臨的法律障礙[9]。

OWADE[10]宣稱是第一個云取證工具，由斯坦福大學的Elie Bursztein教授于2011年在黑帽(black hat)大會上提出。Elie Bursztein認為云服務的接入端應當包含有大量證據信息，因此他設計的OWADE工具主要用于用戶端的證據提取。該工具目前僅支持 Windows系統，能對主流的瀏覽器如Chrome、Internet Explorer、Firefox及Safari進行證據提取和分析，并能獲得當前主流即時通信軟件如Skype、Google Gtalk及MSN的本地聊天記錄。雖然該工具在用戶端能提取到用戶使用諸如Skype等云服務的證據信息，但是這些信息非常有限且很容易遭到犯罪分子的惡意破壞，因此還需與CSP端提取到的證據一起組成完整的證據鏈。

Zafarullah等人針對開源云平臺 Eucalyptus環境下的取證技術進行了研究[11]。首先，他們在云系統內部部署了2臺攻擊源主機；然后，利用上述主機對云控制器 (CLC, cloud controller) 節點發起DoS/DDoS攻擊，耗盡CLC節點的CPU、內存及網絡帶寬等資源，致使 Eucalyptus無法開啟新的虛擬機實例，無法及時對終端用戶的請求進行響應；最后，從Syslog、Snort等日志記錄中查找本次攻擊的來源。Zafarullah總的研究思路就是先對Eucalyptus進行攻擊，然后針對該類型的攻擊尋找相應的取證方法。雖然作者提出的方法對特定類型攻擊的取證調查有較強的借鑒意義，但還存在2點不足：首先，網絡攻擊的方式多種多樣且不斷變化，對每一種攻擊都提出一種取證方案的可行性不大且沒有必要；其次，對于那些符合云系統安全規則所產生的數字證據，作者并沒有提出有效的提取方法。

華中科技大學的周剛博士提出了一種以現場遷移技術為基礎的云取證方法，該方法將虛擬機實例視為取證分析對象[12]。當有取證需求時，將待取證虛擬機實例遷移至本地，在遷移過程中，對虛擬機實例的內存映射、網絡連接等易失性數據進行了保全，然后將該虛擬機實例在本地進行加載，最后利用一些傳統的取證工具在虛擬機實例中進行取證。該方法雖然能有效地從正常運行的虛擬機實例中獲得證據數據，但當虛擬機實例被用戶惡意破壞無法加載時，該方法就會失效。

本文對云計算及其安全和取證進行了全面的分析研究。首先，對虛擬機技術進行了研究，剖析了其實現已有的安全模型、面臨的安全威脅和安全防護及取證等機制；其次，對針對Xen虛擬機的入侵技術進行了研究，特別是Blue Pill等較為致命的入侵技術及其防范技術進行了深入研究，提出了采用DMA技術進行防范的方法，實現了對Xen的超級調用的審計；第三，研究了基于虛擬機的隱蔽信道通信機制并提出了隱蔽信道的標識方法[13,14]。

因此，基于對虛擬機的研究，本文提出的方法和國內外其他相關研究相比有以下優勢。

1) 具有完整性保護能力。在取證框架中設計了一系列的安全保護機制，能夠有效應對惡意用戶或惡意軟件對該框架發起的干擾，有效防止惡意用戶篡改、刪除證據數據，從而保證了證據的完整性。此外，當某個虛擬機(VM, virtual machine)被惡意破壞且無法修復時，能保證對該VM的取證不受影響。

2) 具備彈性擴展能力。實現了取證力度伴隨VM 的規模變化而變化。將“證據抓取器”與 VM綁定在一起，當VM的數量增加或減少時，“證據抓取器”能及時地將VM中的證據數據轉移到專用的取證虛擬機中。

3) 取證效率高。訓練出的“證據抓取器”實時抓取VM中的證據數據，避免了對VM中所有數據及云中所有VM的取證。能對“證據抓取器”進行靜態、動態配置，限定其數據抓取范圍，從而避免了對VM中的常規系統文件等無關數據的取證，提高了取證效率。

3 ICFF的設計與實現

3.1 Xen簡介

虛擬化技術是云計算的關鍵技術。當前一些主流的云平臺均基于Xen進行實現，如Amazon EC2、Eucalyptus、Xen Cloud Platform等。本文提出的取證框架ICFF也是基于Xen進行設計實現的。

Xen[15]是一個開源虛擬機監控器，其體系結構如圖1所示。由圖1可知，Xen直接運行在物理硬件之上，并向上層操作系統提供虛擬化環境。每一個運行在Xen之上的虛擬機均被稱為一個虛擬域，虛擬域又可分為特權域Domain0及非特權域DomainU，特權域擁有硬件設備驅動并提供非特權域的管理接口。Xen同時支持半虛擬化和全虛擬化，半虛擬化需要修改客戶操作系統(guest OS)源碼，而全虛擬化則不需修改系統源碼，但需有諸如 Intel VT、AMD-V等硬件虛擬化技術的CPU的支持。

圖1 Xen體系結構

3.2 整體架構

如圖2所示，整個取證框架由4個部分組成：位于取證虛擬機(FVM, forensic virtual machine)中的證據保護及分析模塊、證據提取模塊，位于虛擬服務器中的證據抓取器(EC, evidence crawler)，位于Xen Hypervisor中的實時取證模塊。其中，FVM為云平臺服務商所有，并不向公眾提供服務，僅用來保存及分析收集到的證據數據并提供查詢接口；虛擬服務器為云平臺服務商所提供的租用對象，供個人或企業租用。

圖2 取證框架系統架構

1) 證據保護及分析模塊：本模塊向EC下達證據收集命令(圖 2中的①)，分析現有證據并根據分析結果通知實時取證模塊獲取與虛擬服務器相關的實時證據數據(圖2中的④)。

2) 證據抓取器：收集虛擬服務器中的證據數據并發送給FVM(圖2中的②)。

3) 實時取證模塊：截獲虛擬服務器中的VM Exit指令，獲取其系統中正在運行的進程信息(圖2中的③)，將獲取的上述數據發送給 FVM(圖 2中的⑤)。

4) 證據提取模塊：供調查人員使用，是 FVM對外的唯一接口。負責接收調查人員的證據提取命令(圖2中的⑥)，將上述命令轉換為統一規則的查詢語句后發送給證據保護及分析模塊(圖 2中的⑦)，等待分析模塊回傳符合需求的證據數據(圖2中的⑧)，將證據數據的副本傳輸給調查人員(圖2中的⑨)。

3.3 證據抓取器

EC的任務是從虛擬服務器中識別并抓取證據數據，然后將證據數據傳輸至FVM中。EC結構如圖3所示。

1) 激活

在抓取證據之前需先將EC激活，激活方式如下。①定時激活，在某個時間點或每隔一個時間段將抓取器激活；②通過遠程命令激活；③事件激活，當虛擬服務器系統出現特定事件(如有用戶登錄)時激活。在VM未受到惡意攻擊之前，EC所抓取的證據數據尚未被修改，能被法庭所認可。而當VM被黑客攻破后，黑客能任意篡改該VM中的數據，此時獲取的證據數據已不再具有法律效力。因此，需在黑客嘗試攻擊VM階段及時激活抓取器，完成證據轉移工作。

黑客要想對某個VM發起攻擊，其首先得發現該VM中系統的現有漏洞，然后針對該漏洞使用專門的攻擊方法。在黑客進行漏洞掃描、遠程入侵過程中均會引發一系列的系統事件，如特定網絡端口掃描事件、應用程序緩沖區溢出錯誤事件、系統用戶登錄事件等。因此，對這些事件進行監聽并及時激活EC，能實現對黑客入侵全過程的取證。

2) 證據識別及抓取

證據數據的智能識別需結合人工智能技術來實現，本文根據日常取證經驗，對 Windows及Linux平臺中證據數據的存在形式、存放路徑進行了歸納，并將這些知識形成了統一的規則提供給EC。

證據數據的抓取范圍可以通過以下2種方式來設定：①通過配置文件指定證據數據的路徑；②通過遠程命令實時指定待抓取數據的類型、路徑、特征等。第1種方式常用于提取常規證據數據，如操作系統日志、應用軟件(如Web服務器、數據庫)日志、非日志形式的敏感文件等；第2種方式則是第1種方式的一個補充，實時接收并完成來至其他模塊的取證需求。

圖3 EC結構

3.4 實時取證模塊

實時取證模塊隨著Xen啟動而啟動，負責全程記錄VM中進程的執行情況，所記錄的信息包括時間戳、VM的ID號、進程名、進程ID號。上述記錄信息可以作為黑客入侵行為的有效證據，同時對黑客入侵方法及入侵過程的分析也極具參考意義。

對于那些使用Linux內核的Guest OS，可以將進程監控模塊嵌入到其內核源碼中，然后注冊一個事件通道號，用于Guest OS與Xen之間通信，最后通過共享內存的方式將獲取的進程記錄信息傳遞到Xen中。

若不想修改Guest OS內核源碼，則需使用硬件虛擬化技術。實現原理如圖4所示，Guest OS中任一進程切換時，都需將新進程的頁表基地址寫入到特權寄存器CR3，此時CPU會發生VM Exit，陷入到Xen中。具體實現步驟如下。

1) 在Xen中捕獲CPU嵌入指令VM Exit。

2) 設置Hook函數獲取CR3寄存器的值。

3) 從相應 VM 的堆棧中獲取進程描述符(PD,process descriptor)。

4) 從PD中獲取進程ID及進程名，將上述進程信息及Xen中統一時間戳寫入記錄表。

圖4 實時取證模塊原理

3.5 證據保護及分析模塊

該模塊負責接收由EC傳輸過來的證據數據，然后對這些數據進行校驗、保護及分析。

3.5.1 證據保護

云計算環境下的不安全因素較多，有來至云系統內部的安全威脅，也有來至云系統外部(如互聯網)的安全威脅。為了提高該取證框架的抗干擾能力，保障證據數據的完整性及機密性，特設計了以下安全機制。

1) 證據數據的傳輸校驗機制

設計傳輸校驗機制主要有3個目的：①確保證據數據傳輸過程中不被篡改；②確保證據數據的內容不會被非法用戶獲取；③確保證據數據不能被偽造。

在本取證框架中，引入了數字證書機制，由云平臺服務商給FVM及EC頒發證書。EC抓取到證據數據后，首先利用 MD5算法生成校驗值，然后將上述證據數據及校驗數據組裝成證據數據分組，隨后利用該EC的數字證書對數據分組進行簽名并加密，最后通過網絡將其發送至FVM。

FVM收到EC傳輸過來的數據分組時，首先將其解密，然后獲取該數據分組的數字簽名，若該簽名與VM中EC的證書不符，則說明該數據分組是由VM中其他惡意程序所偽造，進而表明該VM已被惡意用戶控制。數字簽名驗證通過后，再對證據數據進行校驗，若校驗不通過，則說明證據數據分組傳輸過程中存在分組丟失現象，需將該證據數據分組丟棄并要求EC重傳。整個流程如圖5所示。

圖5 證據數據傳輸校驗流程

2) 對EC的保護機制

EC的角色至關重要，只有它正確運行才能保證FVM能源源不斷地獲得證據數據。因此，需設計一種檢測機制，用于判定EC是否被其他惡意程序所干擾。干擾方式有2種：一是阻止EC運行；二是阻礙EC抓取及傳輸證據數據。相應的檢測機制如圖6所示。

圖6 EC保護流程

FVM定時向VM中的EC發送請求報文，EC收到請求后需及時響應，并利用其數字證書對響應數據進行簽名。若FVM未收到響應數據，或從響應數據中提取的簽名與EC本身的證書不符，則可認為EC程序已被惡意程序所終止。

FVM中的數據接收程序對每個EC的證據抓取行為進行了記錄，并按照時間段對EC的抓取次數、抓取數據量進行了統計，當EC在某個時間段的行為嚴重偏離了統計值時，認為有惡意程序阻礙其抓取或傳輸證據數據。

3) FVM中的證據保護機制

FVM中存放著大量的證據信息，為了確保這些證據數據不被惡意用戶篡改，需設計有效的保護機制抵御以下2種威脅：①來至云系統內部其他VM的威脅；②來至FVM系統內部其他應用程序的威脅。Xen系統中，Hypervisor層實現了VM間的安全隔離機制，某一VM中的惡意程序無法篡改其他VM中的數據，這就有效抵御了第1種威脅，這也正是本文設置FVM并將證據保護及分析模塊安插在FVM中的主要原因。對于第2種威脅，采用了以下抵御策略：在FVM中對強制訪問控制機制進行了配置，只有證據接收進程擁有證據數據的寫操作權限，除證據接收、分析、提取進程外，其他進程均不能讀取證據數據。

3.5.2 證據分析

證據數據收集完成后，可利用數據挖掘技術對這些數據進行分析，實時發現云系統中出現的一些安全問題[16,17]。證據的智能分析技術較為復雜，為了盡可能地精簡本取證框架，只實現了對來自云系統內部的拒絕服務式攻擊的智能檢測，并預留了證據智能分析接口。智能分析作為未來工作去完成。

4 實驗驗證

4.1 實驗環境

為了驗證本文提出的方法，本文搭建了開源云平臺 Eucalyptus，之所以選擇該平臺，是因為Eucalyptus是一個與Amazon EC2兼容的IaaS系統，具有較強的代表性。整個云系統由5臺相同配置的PC機構成，每臺PC均配有Intel Core i7 860@2.8GHz CPU、4 GB內存、500 GB硬盤，運行32bit的Fedora 12操作系統。其中，1臺PC作為Eucalyptus的前端節點，運行著云控制器CLC、集群控制器CC、存儲控制器SC及walrus組件，其余4臺則為實際的計算節點，運行著節點控制器NC組件。

Eucalyptus平臺上共運行 7個虛擬機實例：1個FVM，3個搭載Windows Server 2003操作系統的VM，3個搭載Fedora 10操作系統的VM。除FVM外，其他VM均向外提供Web服務。

4.2 攻擊方法

Windows Server 2003系統中存在一個設計上的漏洞(CVE-2008-4250)[18]，惡意用戶通過構造一個特殊的遠程RPC請求，則可遠程執行其構造的任意代碼。在實驗過程中，利用該漏洞對云中的VM發起攻擊，具體步驟如下。

1) 利用滲透工具 Metasploit構造特殊 PRC請求，獲得目標機VM01的System用戶權限并開啟4444端口。

2) 遠程登錄VM01，開啟命令行程序cmd.exe。

3) 從VM01中登錄事先搭建好的FTP服務器，從該服務器中下載漏洞掃描工具、“灰鴿子”木馬。

4) 在 VM01中執行漏洞掃描工具，獲取云平臺中其他VM可能存在的系統漏洞信息。

5) 在 VM01中安裝“灰鴿子”木馬，刪除其系統日志。

4.3 證據提取

在上述攻擊過程中，黑客最終刪除了VM01中的系統日志并安裝了木馬，將該機器變成了“肉機”，并可以將該機器作為跳板對整個云系統發起攻擊。黑客的上述操作嚴重破壞了 VM01中的證據數據，致使傳統的取證方法無法從該機器中獲得完整及可靠的證據信息。

本文所述的取證框架能實時獲取VM01中的證據數據，在取證虛擬機FVM中，與VM01相關的部分證據數據如表1所示。由表1可知：黑客構造的RPC請求會致使瀏覽器服務意外終止；攻擊源主機的IP地址為192.168.1.110；攻擊源主機所屬的源工作站為VvvWoTb5JVSKTJD。

表1 EC獲取的部分證據數據

實時取證模塊中的部分證據數據如表2所示，由該表可以得到黑客入侵系統后所進行的操作：首先啟動cmd.exe，然后執行ftp.exe下載部分惡意工具，其次執行漏洞掃描 sfind.exe，最后安裝木馬G_Server.exe。

表2 實時取證模塊中部分證據數據

由上述證據數據可知，本文不但獲得了黑客所屬工作站、IP地址等關鍵信息，還通過實時取證模塊得到了其入侵系統后所運行的進程信息，由這些進程信息所推導出的黑客攻擊步驟與上一節中所述的攻擊步驟完全一致，也進一步證明了 ICFF框架的有效性。

4.4 證據數據的規模

ICFF框架所獲取證據數據的規模與用戶的具體配置相關，在默認配置條件下，框架只自動抓取VM系統的日志及審計信息。通過實驗發現，每個VM每天平均產生2 239 KB的日志及審計數據。在本節所述的實驗中，就是通過分析上述2 MB左右的證據數據獲得了黑客的IP地址等關鍵信息，從而避免了對整個虛擬機鏡像(每個鏡像平均8.23GB)的取證，提高了取證效率。

5 結束語

本文分析了云環境下數字取證技術所面臨的挑戰和難題，提出了一種 IaaS云服務模型下的取證框架ICFF。在該框架中，訓練了一種在Windows及Linux平臺中正常工作的智能證據抓取器，該抓取器能夠自動地從虛擬機中抓取證據數據；設置了一個專門用來存儲、分析證據信息的取證虛擬機FVM；設計了一套安全保護機制，能有效提高該取證框架的抗干擾能力，保障證據數據的完整性及機密性。將該框架在開源 IaaS云平臺 Eucalyptus中進行了實現，并設計實驗進行了驗證分析。實驗表明，該框架能夠有效并快速地獲取云平臺中的證據數據，并能對取證系統和證據數據進行有效保護。在下一步工作中，將增強實時取證模塊的功能，增加對 VM 內存的實時取證，完成對證據數據的智能分析。另外，還進一步研究PaaS及SaaS云服務模型下的取證方法。

[1] SIMSON L G.Digital forensics research: the next 10 years[J].Digital Investigation, 2010, (7): 64-73.

[2] WOLTHUSEN S D.Overcast: forensic discovery in cloud environments[A].The 5th International Conference on IT Security Incident Manage ment and IT Forensics[C].Stuttgart, 2009.3-9.

[3] KEYUN R, JOE C, TAHAR K,et al.Cloud forensics: an overview[A].7th IFIP Conference on Digital Forensics[C].Florida, USA, 2011.35-46.

[4] BIGGS S, VIDALIS S.Cloud computing: the impact on digital forensic investigations[A].International Conference for Internet Technology and Secured Transactions[C].London, Engloud, 2009.1-6.

[5] BIRK D, WEGENER C.Technical issues of forensic investigations in cloud computing environments[A].IEEE 6th International Workshop on Systematic Approaches to Digital Forensic Engineering[C].Oakland, 2011.1-10.

[6] Eucalyptus[EB/OL].http://www.eucalyptus.com/.

[7] NURMI D, WOLSKI R, GRZEGORCZYK C,et al.The eucalyptus open-source cloud-computing system[A].IEEE/ACM International Symposium on Cluster Computing and the Grid[C].Shanghai, China, 2009.124-131.

[8] KEYUN R, IBRAHIM B, JOE C,et al.Survey on cloud forensics and critical criteria for cloud forensic capability: a preliminary analysis[A].Proceedings of the ADFSL Conference on Digital Forensics, Security and Law[C].Virginia, USA, 2011.105-121.

[9] REILLY D, WREN C, BERRY T.Cloud computing: forensic challenges for law enforcement[A].International Conference for Internet Technology and Secured Transactions[C].London, Engloud, 2010.1-7.

[10] ELIE B, IVAN F, MATTHIEU M,et al.Doing forensics in the cloud age OWADE: beyond files recovery forensic[A].Black Hat[C].Las-Vegas, USA, 2011.1-23.

[11] ZAFARULLAH Z, ANWAR F, ANWAR Z.Digital forensics for eucalyptus[A].Frontiers of Information Technology[C].Islamabad,2011.110-116.

[12] 周剛.云計算環境中面向取證的現場遷移技術研究[D].武漢:華中科技大學, 2011.ZHOU G.Research on Scene Migration of Computer Forensics in Cloud Computing Environment[D].Wuhan: Huazhong University Science and Technology, 2011.

[13] WU J Z, DING L P, WANG Y J,et al.Identification and evaluation of sharing memory covert timing channel in xen virtual machines[A].IEEE 4th Conference on Cloud Computing[C].Washington DC, USA,2011.283-291.

[14] WU J Z, DING L P, LIN Y Q,et al.Xenpump: a new method to mitigate timing channel in cloud computing[A].IEEE 5th Conference on Cloud Computing[C].Hawaii, USA, 2012.678-685.

[15] PAUL B, BORIS D, KEIR F,et al.Xen and the art of virtualization[A].Proceedings of the Nineteenth ACM Symposium on Operating Systems Principles[C].New York, USA, 2003.164-177.

[16] XU W, HUANG L, FOX A,et al.Detecting large-scale system problems by mining console logs[A].Proceedings of the ACM SIGOPS 22nd Symposium on Operating Systems Priciples[C].New York, USA,2009.117-132.

[17] HU Z B, SU J, SHIROCHIN V P.An intelligent lightweight intrusion detection system with forensics technique[A].4th IEEE Workshop on Intelligent Data Acquisition and Advanced Computing Systems:Technology and Applications[C].Dortmund, 2007.647-651.

[18] CVE-2008-4250[EB/OL].http://www.cve.mitre.org/cgi-bin/cvename.cgi?name =CVE-2008- 4250.