云计算思维模式的电子证据取证关键技术分析

    闫卫刚

    摘要：云计算业务的不断增长，增加了云计算或直接以云为目标的网络犯罪数量。现阶段，云取证在技术与法律层面的进展还不多。对于取证人员而言，新兴的网络犯罪是_项重大的挑战。文章以云计算安全风险与传统的电子取证技术为切入点，对云计算思维模式下的电子取证关键技术进行分析，以期为取证人员对涉云网络犯罪的调查工作提供参考。

    关键词：云计算；网络犯罪；电子取证；云取证

    作为新一代IT服务模式，云计算对众多领域的变革、重组以及整合产生加速作用，这对电子取证领域而言同样如此。传统的电子取证技术具有局限性，在云计算环境下，大部分完整数据以碎片的形式存储于不同计算机上，若仍对传统取证技术予以采用，只在单机上不作逻辑地直接取证，很难获取真实有效的电子证据，无法形成判罪依据。云计算技术的发展对大数据时代的来临产生促进作用，电子证据的完整获取与保存、案件的顺利侦破，以高效的取证架构以及较短的取证周期为支撑，进行云计算思维模式下电子取证关键技术的分析具有显著的现实意义。

    1.云计算安全风险

    云计算是一种对IT资源的使用模式，是对共享的可配置的計算资源提供无所不在的、方便的、随需的网络访问。现阶段，软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）是云计算公认的3种服务模式。基于自身架构与特征，云计算存在着一定的安全缺陷，给予网络罪犯可乘之机。

    1.1云计算安全问题

    云计算的升温凸显了其所带来的安全问题，与传统架构相比，云计算的安全问题主要包括数据分离与恢复、敏感信息存取、隐私问题、漏洞利用以及恶意内部攻击等。在创造大量利益的同时，云计算还为用户带来了很多不容忽视的风险。在企业与用户关心的云计算问题中，安全问题所占比例最大，接近于80%。

    1.2云计算相关的网络犯罪

    基于云计算的优点，很多用户都将其业务迁至云上，基于此，网络罪犯也陆续将目光放于云计算的弱点之上。TrendMicro的安全报告指出，云计算与虚拟技术在为用户创造便利、节省成本的同时，其将服务器迁至传统信息安全边界之外的行为又造成了网络犯罪选择范围的扩大。

    近年来，云端服务器失效现象时有发生，云服务由此受到大规模中断，业界开始关注云计算存在的相应缺陷，认为这些缺陷将会发展为网络罪犯的首要目标。Gartner指出，云架构的安全风险很大，其自身特征要求用户评估数据完整、数据恢复、隐私保护等内容，在法律层面，电子证据取证与审计等工作需要得到应有的重视。

    2.电子取证关键技术

    在入侵者犯罪手段与技术不断变化的背景之下，电子取证需要更多、更高的技术。

    2.1数据复制技术

    该技术有数据备份、数据镜像、拍照以及摄像等。针对包含视听资料的证据，可以在取证过程中采取拍照与摄像的方式，提高证明力度，预防翻供现象的发生。案件发生以后，利用数据镜像，能够在另外一台主机上恢复所备份的数据，分析工作在映像上的开展要比在原件上的开展更加具有安全性。

    2.2信息加密技术

    对于信息安全而言，信息加密技术十分重要，它利用密钥技术对传输、交换并存储于通信网络中的信息进行保护，保持其机密性、完整性与真实性。作为一种基本技术，数据加密技术向所有的网络通信提供安全保证，它有链路加密、节点对节点加密以及端对端加密3种方式。

    2.3数据复原技术

    电子证据复原是指通过采用一定的复原技术，对在不同程度上受到损坏的数据或者部分不可见区域中的数据进行恢复。很多计算机系统都具有自动生成备份与恢复数据的功能，一些计算机中的安全系统还会针对性地对部分重要数据库做出专门备份的准备。系统的组成通常分为专门设备与专门操作管理，篡改系数比较大。所以，当出现计算机犯罪，相关证据遭到修改与破坏之时，可对自动备份数据与已经过处理的数据证据进行比较，以此对数据施以可靠度最高的恢复，为定案提供真实证据。

    2.4数据截取技术

    侦查员在罪犯进行计算机犯罪的过程中，可对此项技术加以利用，以此截获相应的犯罪证据。数据的截取依赖于传输介质，数据在传输过程中有有线数据传输与无线数据传输两种划分。在有线传输中，截取技术采用的是网络监听的方式，该方式需要对主机网卡进行混杂模式的设置，使主机接受对应网段内统一物理通道所传输的全部信息，以此对通信过程中的主要信息予以截取，Sniffer与TCP Dump为该传输方式的两种常用工具。在无线传输中，信息的截取是通过电磁波实现的。所截取的信息能够提供证据于犯罪行为与类型等的分析。

    2.5数据欺骗技术

    陷阱与伪装等是数据欺骗所采取的主要方式。通过对虚拟系统、服务或环境的构造，罪犯能够诱骗攻击者向其发起进攻。该技术在网络攻击中证据的获取上有着较为广泛的应用，在攻击者不知情的情况下，取证系统可通过潜伏对其完整的攻击流程、方式等进行记录，以此获取证据信息，证明攻击与入侵等行为发生的真实性。蜜罐与密网是使用率较高的陷阱工具。

    2.6恶意代码技术

    为了对取证过程中交互性导致的干扰问题予以避免，需对应用恶意代码技术进行隐秘取证的方法进行研究。恶意代码具有破坏或扰乱系统特定功能的作用，它具有长期潜伏性，能够对敏感信息进行秘密的窃取。在网络通信中，恶意代码技术能够实现全程隐藏导入以及远程信息传送与控制，快速反应、动态取证是其突出的特征体现。

    2.7人工智能与数据挖掘技术

    网络传输速度与计算机存储容量成正比，针对存储于计算机内的与在网络中传输的大量数据，可应用人工智能与数据挖掘技术搜集相关于特定犯罪的证据，对智能化取证予以实现。人工智能技术以开发专家系统为核心，其优势在于能够提高系统标识、预测正常类型与异常类型数据新特征的能力，对部分未知的数据是否能够构成犯罪证据进行预测，实现数据分析智能性的提升。数据挖掘分为关联规则分析、分类与联系分析等技术，利用这些技术，可以在网络动态取证数据分析环节对数据库中的数据进行特征挖掘，生成用户行为合法性的判断规则，以准确、有效、动态地挖掘犯罪行为证据。

    3.云计算思维模式下的新型电子取证技术

    为了解决取证不完整、不充分等问题，文章提出适合于云计算环境的新型电子取证技术，将其融入云计算模式下的电子取证流程中，并在流程中对Hadoop架构下Mahout数据挖掘技术予以运用，实现对证据有用性不足、深度不够等问题的解决。

    3.1技术流程

    （1）明确取证目的与范围。取证目的的明确要求对历次取证的目标与意义进行把握，向最终所获取的证据的真实性、合法性与关联性提供保證，使其能够得到法院诉讼审查的接纳，并在质证环节被采信，此外，对取证环节的消极性与被动性加以避免。取证范围的明确要求取证过程所采取的证据关联于所发生的案件，对由于采取不到电子证据而导致的案件侦破时间浪费现象予以避免。

    （2）明确取证数据来源。在云计算环境下，电子取证数据有多方面的来源，它们既有来源于大规模云计算中心的数据，又有来源于云服务商的数据，还有来源于客户端的数据。来源不同的数据会涉及不同的取证对象，其中大型云存储器是对应于云数据中心的取证对象，规模相对较小的存储器是对应于云服务器提供商的取证对象，而客户机的内存、缓存与文件等，则是与客户端相对应的取证对象。取整数据来源的尽早明确能够对取证范围予以缩小，实现对取证速度的加快。

    （3）实际取证阶段。在云计算思维模式下，利用取证软件进行证据的获取能够对证据可靠性、完整性与充分性提供保证，它是对传统电子取证技术的突破，能够对传统技术在云计算环境下的取证缺陷予以弥补。

    （4）证据信息处理阶段。云计算环境中的电子数据数量十分庞大，能够为取证过程提供大量证据信息。但是，这些证据存在冗余现象，若不采取有效措施进行处理，会降低证据的深度与有用程度。针对于此，可以对Hadoop架构中的Mahout予以采用，对有用的电子证据进行挖掘与处理。

    （5）证据信息分析阶段。从上一步中的证据信息中进行涉案痕迹与违法证据的查找，有利于案件的顺利侦破。

    3.2技术架构

    云计算思维模式下电子证据取证技术架构可划分为5个层次。其中，最底层为硬件资源池层，主要对CPU、内存、存储器、网络设备以及带宽等资源予以涵盖，它能够提供底层硬件支持于技术的实施，是技术架构的基础设施层；往上一层是虚拟软件层，通过利用虚拟化软件，对底层硬件资源池进行虚拟处理，使其具有多层逻辑；再往上一层是虚拟机层，它与实体机有着相似的作用，唯一的不同在于资源的使用方式；在虚拟机层之上，为Hadoop分布式云计算平台，作为云取证系统的核心，该层利用MapReduce并行编程模型与HDFS分布式存储模块共同实现高速、实时且可靠的电子取证，在取证完成之后，还能够对冗余信息进行分析与处理，以提供清晰证据于取证人员；最上层是电子取证客户端，主要用于证据信息的收集与显示。