[发明专利]一种基于云计算的取证方法

说明书

技术领域

本发明涉及计算机应用领域，具体涉及一种基于云计算的取证方法。

背景技术

随着计算机网络的飞速发展，各行各业的日常工作都越来越离不开计算机的应用，而涉及计算机和互联网的高科技犯罪、商业欺诈等现象也越来越频繁地发生，因此，为了有效防止和打击计算机犯罪，必须向有关法律部门提交真实可信的电子证据，计算机取证学因此应运而生。计算机取证就是对计算机犯罪的证据进行获取、保存、分析和归档，它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。

发明内容

为了提高计算机取证的可靠性、缩短取证时间，本发明提出一种基于云计算的取证方法。

为了解决上述技术问题，本发明提供了一种基于云计算的取证方法，包括：

1)将服务器集群中的物理资源通过云计算虚拟化为一个云系统；

2)当某一个或多个物理资源出现异常时，通过云计算代理采集所述云系统的日志数据；

3)通过对所述日志数据的分析和挖掘，获得与所述出现异常的物理资源相关的证据信息。

进一步地，步骤2)前还包括：

对所述日志数据进行标准化，并且验证所述日志数据的完整性。

进一步地，步骤3)之后还包括：

对所述证据信息进行分析和追踪，向云系统的主机或者控制器反馈。

进一步地，所述云计算的物理资源包括基础设施层和中间层；

所述基础设施层包括：服务器集群中的各主机、分布式存储设备、网络和关系数据库服务器；

所述中间层包括：为基础设施层提供的多租户服务的服务器、并行处理服务的服务器和分布式缓存服务的服务器。

进一步地，所述日志数据包括主机数据和网络数据；

所述主机数据包括：操作系统日志、应用程序日志和基于目标的信息；

所述网络日志包括：防火墙日志、入侵检测系统IDS日志和其他网络工具产生的记录和日志。

进一步地，对所述日志数据进行标准化，并且验证所述日志数据的完整性，包括：

将获得的日志数据分为文件类、账户类、系统类、策略更改类、网络类、攻击类；

通过数字签名、时间戳和水印验证所述日志数据的完整性。

进一步地，证据分析的内容包括：计算机类型、采用的操作系统类型、是否有隐藏的分区、有无可疑外设、有无远程控制；

证据挖掘包括：关联规则挖掘、序列模式挖掘和孤立点挖掘；

所述关联规则挖掘是将日志数据中的大量按特定规律分布的关联规则挖掘出来；

所述序列模式挖掘是找到入侵行为的时间序列、事件序列特征；

所述孤立点挖掘是挖掘日志数据中的异常数据，找出异常数据模式。

进一步地，对所述日志数据进行标准化为：将所述日志数据按比例缩放，使之落入一个预定的数值区间。

进一步地，所述按比例缩放为：通过线性或非线性的函数变换，将所述日志数据映射到所述数值区间。

与现有技术相比，本发明的基于云计算的取证方法，实现了计算机物理资源的动态整合，并将证据多份备份，提高可靠性。智能获取数据，通过数据集中存储减少了数据泄露的可能性、缩短了取证时间。

附图说明

图1为本发明实施例的云计算模型的结构示意图；

图2为本发明实施例的云计算的取证方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明实施例提出了一种基于云计算的取证方法，运用云计算中的虚拟化技术，将众多计算机资源整合为一个强大的虚拟计算机，从而实现计算机犯罪证据的多重备份，大大提高取证的效率和准确率。采用云计算中的代理(agent)技术自主、智能的获取日志数据，通过日志数据集中存储减少了数据泄露的可能性。证据分析过程采用云计算的协作技术，缩短了取证时间，引入了反馈机制，使取证体制更加完善。

从云计算模式的基本理论和云计算演化规律来看，云计算的关键技术主要包括了虚拟化技术、分布式处理技术、海量分布式存储技术、协作技术等。本发明是以云计算关键技术中的虚拟化技术和协作技术构建了计算机取证模型。

(1)虚拟化技术