基于大型商業(yè)應(yīng)用私有云取證方法初探

◆楊 鵬

（重慶警察學院信息安全系 重慶 401331）

云計算的核心是海量數(shù)據(jù)的存儲和計算，通常由幾十萬臺甚至幾百萬臺計算機構(gòu)成的計算機群對數(shù)據(jù)進行聚合和分布處理，然后通過網(wǎng)絡(luò)對客戶提供服務(wù)。

在云計算時代，對于數(shù)據(jù)的計算、處理等操作，都可以交給云計算數(shù)據(jù)中心進行。云計算平臺可以看成是一個強大的“云”網(wǎng)絡(luò)，不僅將眾多并發(fā)的網(wǎng)絡(luò)計算和服務(wù)鏈接起來，還利用虛擬化計算對每個服務(wù)器能力進行拓展，這樣就通過云計算平臺使得各自的資源整合起來，擁有超級計算和存儲能力[1]。

云計算分為公有云、私有云、混合云、行業(yè)云等。電子數(shù)據(jù)取證的對象可以是整個大數(shù)據(jù)，也可以是某一私有云的大數(shù)據(jù)，也可以是某一公有云的大數(shù)據(jù)。由于龐大的存儲及復雜的網(wǎng)絡(luò)拓撲，給電子數(shù)據(jù)取證帶來困難，特別是處理大型商業(yè)應(yīng)用私有云取證的違法犯罪對傳統(tǒng)的電子數(shù)據(jù)勘查取證提出了巨大的挑戰(zhàn)。本文將從實戰(zhàn)的角度出發(fā)，圍繞網(wǎng)絡(luò)分析、數(shù)據(jù)分析及數(shù)量龐大的數(shù)據(jù)庫分析，提出相應(yīng)取證對策。

1 云計算下電子數(shù)據(jù)取證面臨的挑戰(zhàn)

隨著云計算和云存儲的不斷成熟和完善，我們在享受云計算帶來便捷的同時也發(fā)現(xiàn)云的不確定性和危險性，尤其針對司法部門，在云計算下的電子取證和固定是一個敏感而又棘手的問題[2]。

1.1 取證數(shù)據(jù)量大、數(shù)據(jù)類型繁多

傳統(tǒng)的計算機取證環(huán)境通常分為單機、涉及網(wǎng)絡(luò)環(huán)境下的取證。取證環(huán)境較為單一，需要取證的對象也比較明確。而云環(huán)境下為公有云、私有云和混合云，都是建立在大量的服務(wù)器集群和IDC數(shù)據(jù)中心的基礎(chǔ)上，數(shù)據(jù)的起始計量單位至少是P（1000個T）、E（100萬個T）或Z（10億個T），并且數(shù)據(jù)類型繁多，包括網(wǎng)絡(luò)日志、音頻、視頻、圖片、地理位置信息等，而且還有眾多自建的私有類型，常用的數(shù)據(jù)瀏覽工具無法正常識別，使取證人員面臨的取證環(huán)境較傳統(tǒng)計算機取證環(huán)境復雜，基于傳統(tǒng)計算機取證環(huán)境下的取證規(guī)則不再完全適用。

1.2 取證無實體

根據(jù)國際電子取證慣例，取證分為證據(jù)扣押、證據(jù)獲取、證據(jù)分析與證據(jù)呈現(xiàn)四個階段[3]。證據(jù)扣押是各類國際電子取證手冊列為取證過程開始的第一項。在傳統(tǒng)計算機取證環(huán)境下，需要物理扣押的證據(jù)比較明確，但在云計算環(huán)境下，云計算涉及大量的服務(wù)器集群及相關(guān)網(wǎng)絡(luò)設(shè)備和存儲設(shè)備。傳統(tǒng)的計算機取證環(huán)境通常可以確定證據(jù)線索存在位置，可以使用成熟的取證方法獲取或者鏡像相關(guān)內(nèi)存和磁盤，但由于云計算環(huán)境資源動態(tài)調(diào)度的特性，取證人員難以確定某個特定時間，需要取證的虛擬機運行在哪個服務(wù)器上，很難找到實體，這使傳統(tǒng)的針對內(nèi)存和磁盤的取證方法往往不再適用[4]。

1.3 價值證據(jù)密度低

在云計算環(huán)境下，嫌疑人使用的數(shù)據(jù)往往只是云計算環(huán)境下海量存儲中非常小的部分，可能涉及眾多的存儲設(shè)備和服務(wù)器，數(shù)據(jù)價值密度相對較低。如隨著物聯(lián)網(wǎng)的廣泛應(yīng)用，信息感知無處不在，信息海量，但價值密度較低，如何通過強大的機器算法更迅速地完成數(shù)據(jù)的價值“提純”，是亟待解決的難題。對云計算環(huán)境下海量數(shù)據(jù)獲取處理時，往往難以獲取到犯罪嫌疑人大量的涉案證據(jù)和線索。

2 取證框架

本文從實戰(zhàn)角度出發(fā)，針對大型商業(yè)私有云的復雜取證環(huán)境，提出網(wǎng)絡(luò)拓撲及數(shù)據(jù)庫的取證框架，解決云計算環(huán)境下的取證難點。

2.1 網(wǎng)絡(luò)拓撲取證

對于商業(yè)私有云環(huán)境取證，首先要理清整個系統(tǒng)的網(wǎng)絡(luò)拓撲，不然對于幾百臺服務(wù)器的集群環(huán)境、龐大的存儲陣列，將無從下手。有些云環(huán)境分布在多個省市，甚至跨境，這對于網(wǎng)絡(luò)拓撲的分析尤為重要。

為了安全和高效率，云環(huán)境的網(wǎng)絡(luò)拓撲，都要考慮負載均衡和冗余設(shè)計，所以線路看起來復雜，不便于傳統(tǒng)的硬件突破來解決網(wǎng)絡(luò)傳輸問題[5]。典型云拓撲圖如圖1所示。

圖1 常見集群環(huán)境網(wǎng)絡(luò)拓撲

2.1.1 基于漏洞的取證

對于商業(yè)私有云環(huán)境，通常使用一套系統(tǒng)管理程序配置整個虛擬化網(wǎng)絡(luò)，通過管理軟件的系統(tǒng)漏洞，滲透進入虛擬網(wǎng)絡(luò)系統(tǒng)，可以清楚了解整個網(wǎng)絡(luò)拓撲，甚至可以直接用來控制計算機進行取證，這對電子數(shù)據(jù)取證，獲取整個數(shù)據(jù)流向?qū)⒎浅Ｓ行А?/p>

2.1.2 獲取管理員權(quán)限的取證

獲取整個系統(tǒng)的管理員權(quán)限無疑是最簡單直接的方法，直接提取管理員技術(shù)文檔，瞬間整個系統(tǒng)網(wǎng)絡(luò)拓撲就變得清晰，但在實踐中，犯罪嫌疑人往往不會輕易提供管理員賬號、密碼，所以針對管理員電子設(shè)備展開取證獲取系統(tǒng)管理員最高權(quán)限很有必要。

2.1.3 黑盒測試方式取證

黑盒測試，在實踐中是用得最多，也最有效的方法。通過對核心路由器、交換機進行抓包，根據(jù)節(jié)點流量及網(wǎng)絡(luò)流向，顯示網(wǎng)絡(luò)訪問拓撲圖，目前市面上有許多網(wǎng)絡(luò)抓包產(chǎn)品可以輔助做該項工作。

首先在交換機上找個空閑未使用的物理接口（通過外接入測試交換機也可以），通過交換機其他端口監(jiān)控該端口流量，將裝有Wireshark等監(jiān)控軟件的PC機接入交換機的監(jiān)視端口開啟抓包功能（PC機的IP地址、掩碼、網(wǎng)關(guān)可隨意指定，無特殊要求）。根據(jù)捕獲數(shù)據(jù)包的協(xié)議類型放入數(shù)據(jù)庫進行分類處理，通過數(shù)據(jù)庫統(tǒng)計、分析，最終獲得整個系統(tǒng)網(wǎng)絡(luò)拓撲，流程圖如圖2所示。

圖2 抓包處理流程圖

2.2 海量數(shù)據(jù)庫取證方法

商業(yè)私有云取證的核心為數(shù)據(jù)庫取證，絕大多數(shù)與案件相關(guān)的重要證據(jù)均存在于數(shù)據(jù)庫中，但由于大型商業(yè)私有云的數(shù)據(jù)庫類型多，數(shù)據(jù)量大，并且大多采用了分庫分表設(shè)計，取證過程通常需要對幾十億條數(shù)據(jù)記錄進行合并、去重、統(tǒng)計分析，常規(guī)單臺取證服務(wù)器根本無法滿足計算需求，本文根據(jù)實戰(zhàn)提出切實可行解決方案。

2.2.1 數(shù)據(jù)文件統(tǒng)一化

根據(jù)案件證據(jù)需要，將商業(yè)私有云中的云服務(wù)器、以及密切相關(guān)的Oracle、MySQL等關(guān)系型數(shù)據(jù)庫中的數(shù)據(jù)進行導出，并進行數(shù)據(jù)格式統(tǒng)一化處理，將所有數(shù)據(jù)記錄全部導出為“.sql”格式。

2.2.2 數(shù)據(jù)文件平面化

編制專門的JAVA程序，部署在高性能Linux集群上，將導出的“.sql”文件轉(zhuǎn)化為Hadoop所要求的文件格式，進行平面化轉(zhuǎn)化，部分轉(zhuǎn)換JAVA代碼如圖3所示。

圖3 Java轉(zhuǎn)換代碼

將處理完成后的平面文件上傳Hadoop集群環(huán)境，此步即可解決云數(shù)據(jù)庫分庫分表的問題，我們只需對同一名稱表加上不同的時間戳，合并上傳到統(tǒng)一文件夾中，即完成了合庫合表，如圖4所示。

圖4 t_pay_record表

2.2.3 重建數(shù)據(jù)庫

在Hadoop集群中，采用“Impala”查詢分析引擎創(chuàng)建相應(yīng)的數(shù)據(jù)表結(jié)構(gòu)，將數(shù)據(jù)表的格式與上傳的數(shù)據(jù)文件目錄進行關(guān)聯(lián)匹配，以完成數(shù)據(jù)表的重建。在完成數(shù)據(jù)重建工作和熟悉掌握數(shù)據(jù)庫結(jié)構(gòu)的基礎(chǔ)上，可以輕松完成上億條數(shù)據(jù)的合并、去重及統(tǒng)計分析，為案件偵辦提供了有力的證據(jù)支撐。

3 結(jié)束語

云計算是一門很深的科學，而且到目前為止，云計算還沒有統(tǒng)一的框架、定義和簡單可信賴的基礎(chǔ)，因此基于云計算下的電子數(shù)據(jù)取證和調(diào)查也僅限于當前的技術(shù)和行業(yè)層面。從實戰(zhàn)經(jīng)驗來看，本文的取證方法雖然解決了證據(jù)獲取和證據(jù)分析問題，但如何構(gòu)建適用于各類云環(huán)境下取證框架并得到司法認可還需進一步深入研究。