[发明专利]一种基于云计算的取证方法

权利要求书

1.一种基于云计算的取证方法，其特征在于：所述方法包括：

1)将服务器集群中的物理资源通过云计算虚拟化为一个云系统；

2)当某一个或多个物理资源出现异常时，通过云计算代理采集所述云系统的日志数据；

3)通过对所述日志数据的分析和挖掘，获得与所述出现异常的物理资源相关的证据信息。

2.如权利要求1所述的取证方法，其特征在于：步骤2)前还包括：

对所述日志数据进行标准化，并且验证所述日志数据的完整性。

3.如权利要求1所述的取证方法，其特征在于：步骤3)之后还包括：

对所述证据信息进行分析和追踪，向云系统的主机或者控制器反馈。

4.如权利要求1所述的取证方法，其特征在于：所述云计算的物理资源包括基础设施层和中间层；

所述基础设施层包括：服务器集群中的各主机、分布式存储设备、网络和关系数据库服务器；

所述中间层包括：为基础设施层提供的多租户服务的服务器、并行处理服务的服务器和分布式缓存服务的服务器。

5.如权利要求1所述的取证方法，其特征在于：所述日志数据包括主机数据和网络数据；

所述主机数据包括：操作系统日志、应用程序日志和基于目标的信息；

所述网络日志包括：防火墙日志、入侵检测系统IDS日志和其他网络工具产生的记录和日志。

6.如权利要求2所述的取证方法，其特征在于：对所述日志数据进行标准化，并且验证所述日志数据的完整性，包括：

将获得的日志数据分为文件类、账户类、系统类、策略更改类、网络类、攻击类；

通过数字签名、时间戳和水印验证所述日志数据的完整性。

7.如权利要求1所述的取证方法，其特征在于：证据分析的内容包括：计算机类型、采用的操作系统类型、是否有隐藏的分区、有无可疑外设、有无远程控制；

证据挖掘包括：关联规则挖掘、序列模式挖掘和孤立点挖掘；

所述关联规则挖掘是将日志数据中的大量按特定规律分布的关联规则挖掘出来；

所述序列模式挖掘是找到入侵行为的时间序列、事件序列特征；

所述孤立点挖掘是挖掘日志数据中的异常数据，找出异常数据模式。

8.如权利要求2或6所述的取证方法，其特征在于：对所述日志数据进行标准化为：将所述日志数据按比例缩放，使之落入一个预定的数值区间。

9.如权利要求8所述的取证方法，其特征在于：所述按比例缩放为：通过线性或非线性的函数变换，将所述日志数据映射到所述数值区间。