[发明专利]应用于云计算环境的基于用户意图检测的取证系统及方法

权利要求书

1.一种应用于云计算环境的基于用户意图检测的计算机取证系统，其特征在于，包括：客户端和云代理服务器端两个部分，客户端部分用于获取取证数据，云代理服务器部分用于提供取证功能支持；其中客户端部署有初始化驱动模块、系统控制中心、系统支持模块组；云代理服务器端部署有取证功能模块组；

所述初始化驱动模块用于在运行的客户端操作系统中部署和卸载取证平台，并在初始化过程完成后将控制权交给系统控制中心；

所述系统控制中心提供硬件虚拟化平台支持，控制初始化过程和卸载过程，以及对硬件虚拟化平台截获的目标操作系统的事件进行预处理、并提供给取证功能模块组；

所述系统支持模块组基于系统控制中心实现系统的基础功能，包括信号模块、外部控制模块、系统状态检测模块、和实时获得重要证据的用户意图检测模块；用户意图检测模块实时获得操作系统内的证据，包括在事件发生时记录当前操作系统的运行状态，以及当前正在运行进程的行为；在事件发生时的应用界面结构，以及用户和应用之间的交互行为；以树状图的结构表示当前系统的界面结构，其中，树状图的根节点为系统桌面，分支节点和叶节点分别对应窗口和组件，包含类型，尺寸，位置，文本，事件，时间戳；在树状图的基础上，结合系统运行状态和进程信息，生成界面结构数据结构和用户意图数据结构；界面结构数据结构被用户场景重现模块使用，用户意图数据结构被用户意图驱动访问控制模块使用；

所述取证功能模块组包括若干个取证模块，并在取证平台的支持下完成初始化、卸载和外部控制，取证功能模块组由云代理服务器统一管理，由客户端的系统控制中心利用外部接口调配使用；所述取证功能模块组包括数据加密保护模块、用户场景重现模块、用户意图驱动访问控制模块；用户意图驱动访问控制模块主动依据用户意图进行用户数据的访问控制保护，动态依据用户意图配置访问控制策略，拒绝不符合用户意图的数据访问控制请求。

2.根据权利要求1所述的应用于云计算环境的基于用户意图检测的计算机取证系统，其特征在于，所述取证功能模块组包括数据加密保护模块、用户场景重现模块、用户意图驱动访问控制模块；

数据加密保护模块为被访问的云端数据提供进一步的加密保护：首先，利用通用加密算法，使用数据密匙对被访问的云端数据进行第一步加密，而后，使用控制密匙对数据密匙进行第二步加密，并为控制密匙绑定时间有效性和空间有效性，控制密匙由云代理服务器管理并留存；加密数据、数据密匙和控制密匙被提供给数据访问请求者；

用户场景重现模块实时获得的操作系统中的重要证据，包括：在事件发生时记录当前操作系统的运行状态，当前正在运行进程的行为，在事件发生时的应用界面结构，用户和应用之间的交互行为，该模块是轻量级的、持续运作的取证重现引擎，提供了抽象但语义足够的用户操作场景重现，帮助分析用户和应用之间的交互过程，场景重现的过程在云端实现，重现的结果使用帧缓冲协议能够在任意设备上进行渲染。

3.根据权利要求1所述的应用于云计算环境的基于用户意图检测的计算机取证系统，所述客户端的初始化顺序为先初始化系统控制中心、再初始化系统支持模块组、最后初始化取证功能模块外部控制接口，控制初始化的单线程性；云代理服务器端的初始化顺序为先初始化取证功能管理中心，再初始化取证功能模块，最后初始化外部控制接口；反之，客户端的卸载顺序为先卸载取证功能模块外部控制接口、再卸载系统支持模块组、最后系统控制中心将CPU控制权限交还目标操作系统；云代理服务器端的卸载顺序为先卸载外部控制接口，再卸载取证功能模块，最后卸载取证功能管理中心。