[发明专利]用于在云系统中分析取证数据的系统和方法

说明书

技术领域

本发明涉及用于在云系统中分析取证数据的系统。此外，本发明涉及用于在云系统中分析取证数据的方法。

背景技术

为了分析和消除IT安全事故、例如第三方对IT系统的攻击，通常执行对取证数据的分析。这些数据还包含主存储器内容（RAM）、永久性存储介质（硬盘）的内容和潜在地参与安全事故的IT系统的网络流量的记录。

随着不仅主存储器而且也包括永久性存储器的剧增的大小，待分析的数据从所涉及的IT系统到分析实验室的传输变得越来越复杂。这还导致了对所涉及的系统的鉴于待传输的数据量方面的负载，以及导致尤其在跨地点的联网的情况下对WAN路径（广域网路径）的高利用率。

如果待分析的系统由外部的提供者、例如云系统来运行，则数据从提供者的网络向外的传输导致附加的传输成本。如果将其他大容量存储器，例如经由本地网络连接到待分析的系统，则所述大容量存储器在捕获待分析的系统的取证数据时在有些情况下未被捕获并且因此未被评估。此外，这种大容量存储器的数据量太大，使得不能为了在安全事故的范畴内的分析来建立或者经由网络传输所述大容量存储器的副本。

经由在有关系统上的远程访问所进行的对所述有关系统的分析可能扭曲待分析的数据、导致系统的高的资源利用率并且为可能还主动的攻击者提供关于运行的分析的提示。除此之外，由于潜在地被破坏的环境而不再保证：在分析结束后对个人有关的和其他值得保护的数据的安全删除。

迄今，取证数据被复制到可携带的数据载体上，然后以邮递途径发送数据载体，以用于分析。可替代地，为了在线检验，以自动（软件代理）或者手动（现场人员）的方式来请求所选择的数据，以用于分析，其中在此情况下可能漏看对于分析来说相关的数据。

为了分析所连接的大容量存储器系统，为了分析者提供访问数据。然而，由于分析者的地点和待分析的系统的地点之间的带宽限制，将所述分析限制在能访问的数据的一个小的子集。

对网络数据流量的分析可以通过已经存在的用于记录数据的基础设施进行。可替代地，可以安装或配置基础设施，例如包嗅探器（Packet-Sniffer）。鉴于完整性和数据量的传输方面所提到的问题对于网络数据流量相应地同样适用。

发明内容

在这种背景下，本发明的任务在于，以简单和安全的方式分析取证数据。

因此，建议用于分析取证数据的系统，其中取证数据在云系统中存在。所述系统具有用于分析取证数据的分析单元，其中分析单元被布置在云系统中，并且所述系统具有用于操作分析单元的操作单元，其中操作单元以远离分析单元的方式被布置在云系统之外。

根据所建议的装置，分析单元被直接移动到待检查的IT基础设施的附近，也即地理上或者也鉴于网络拓补和运营者方面来说的附近。因此取证数据可以在其原始的环境中被检查并且不必从所述环境中被提取或者传输。因为能够以取证数据的原始形式来分析取证数据，以这种方式可以防止：发生对取证数据的扭曲。附加地，也不需要传输取证数据，例如经由网络来传输。以这种方式也可以分析大量的数据，因为可能的带宽限制变得不相干。

取证数据在所述上下文中可以被理解为主存储器内容（RAM）、永久性存储介质（硬盘）的内容和潜在地参与安全事故的IT系统的网络流量的记录。安全事故可以被理解为第三方对IT系统的攻击，也即黑客攻击。

云系统或者云环境在所述上下文中可以被理解为如下系统：所述系统具有云存储器并且也能够被用于托管虚拟系统和虚拟网络。

分析单元可以对所述取证数据进行分析，也即检查：所述取证数据例如是否已被操纵（manipulieren）。

相应的单元、例如分析单元或者操作单元能够以硬件技术的方式和/或也以软件技术的方式被实施。在以硬件技术的方式实施的情况下，相应单元可以被构造为装置或者装置的一部分，例如被构造为计算机或者微处理器或者车辆的控制用计算机。在以软件技术的方式实施的情况下，相应的单元可以被构造为计算机程序产品、功能、例行程序、程序代码的一部分或者能够运行的对象。

分析单元在此直接定位于云系统中，相反，操作单元以与此远离的方式被布置，例如被布置在分析者的工位。由此实现：对网络连接或者WAN连接的去负载，因为为了分析任意更大的系统，仅必须传输在10到30GB范围内的小数据量（从分析单元到操作单元且反之亦然）。通过使分析站接近大容量存储系统可以由分析者就像在本地所在的环境那样地使用所述大容量存储系统。因此免除对于所预先限定的搜索模式的限制以及用于复制和传输数据的时间耗费。