[发明专利]应用于云计算环境的基于用户意图检测的取证系统及方法

说明书

本发明公开了一种应用于云计算环境的基于用户意图检测的计算机取证系统及其方法，系统包括客户端和云代理服务器端两个部分，客户端部署有初始化驱动模块、系统控制中心、系统支持模块组；云代理服务器端部署有取证功能模块组。本发明通过在客户端实现一个轻量化的虚拟机监视器，使得取证工具可以直接利用硬件虚拟化技术带来的便利和灵活性，提供工具进行迅速分析和实时证据获取，通过在客户端和服务器端之间搭建一个云代理服务器，使得服务器端可以直接使用取证系统的功能而不需要重构云系统架构。本方法克服了当前事后取证方法的缺陷，克服了虚拟化技术本身的灵活性缺陷，比传统的安全系统有更广的适用范围，保证了收集证据的可信度和准确性。

技术领域

本发明涉及计算机取证技术领域，涉及一种应用于云计算环境的基于用户意图检测的计算机取证系统及取证方法。

背景技术

传统的基于主机的安全系统将主要精力放在攻击检测上，通过预定义的恶意模型或者检测不会产生于正确输入或运行环境的异常来识别攻击。不幸的是，准确地识别最新攻击方式已经被证明是一个无尽的循环。攻击检测方法的更替似乎永远走在新攻击产生的后面。为此，越来越多的安全系统引入用户意图驱动的安全模型，来确保系统的行为和用户的意图是匹配的。由于该类模型可以是攻击不可知的，因此可以比传统的安全系统有更广的应用范围。通过检测用户意图来定义应用的正确行为的思想并不是全新的，但是先前的尝试往往使用了过度简单或者过度复杂的模型来定义用户行为。因此，如果没有适当而准确地应用运行时上下文，精确检测用户意图似乎是不可能的。

计算机取证的目的是将犯罪者留在计算机的痕迹作为有效证据提供给法庭,打击计算机和网络犯罪。传统的计算机取证分析往往是事后取证，取证证据容易丢失且易被篡改。故而，取证证据的实时获取至关重要。

硬件虚拟化技术首次在IBM System/370中提出，它的特性保证了运行环境的一致性，即计算机软件在硬件虚拟机下的行为和在机器上直接运行保持一致；保证了VMM能够完全控制虚拟机的资源，包括内存、寄存器、I/O、中断和指令的执行；并保证了高效性，即普通指令的运行不受VMM干扰，能够全速运行。目前在x86架构下支持硬件虚拟化的技术有INTEL的 Intel VT-x(2005)和AMD的AMD-V(2006)，都已经广泛运用在各类个人电脑和服务器中。大多数商用虚拟化软件如Linux KVM、Microsoft Hyper-V、Xen、VMware等都已支持了该项技术。

轻量化虚拟机技术利用了硬件虚拟化提供的便利，可以使用少量代码即可实现一个完整的虚拟化平台。由于轻量化虚拟机精简的代码量，完整性检查可以更加迅速和完全的进行，这保证了虚拟机监视器的安全性。ST King在2006IEEE SP会议上提出了在运行的操作系统下动态部署一个轻量化虚拟机的方法，证明了轻量化虚拟机具有能够在运行时部署的灵活性和对目标系统的透明性。同时，结合可信运行环境技术，如Intel的trustedexecution extension(TXT)，可以允许我们建立了一个防干扰、可测量的运行环境，易于检测其正确性并可以远程验证其是否运行在未修改的真实硬件环境。

发明内容

为解决上述问题，本发明公开了一种应用于云计算环境的基于用户意图检测的计算机取证系统及其方法，可以保证用户的本地操作意图可以在云平台间正确传达，还可以保护用户的云端数据。本发明通过在客户端实现一个轻量化的虚拟机监视器，使得取证工具可以直接利用硬件虚拟化技术带来的便利和灵活性，提供工具进行迅速分析和实时证据获取，通过在客户端和服务器端之间搭建一个云代理服务器，使得服务器端可以直接使用取证系统的功能而不需要重构云系统架构。

为了达到上述目的，本发明提供如下技术方案：

一种应用于云计算环境的基于用户意图检测的计算机取证系统，包括：客户端和云代理服务器端两个部分，客户端部分用于获取取证数据，云代理服务器部分用于提供取证功能支持；其中客户端部署有初始化驱动模块、系统控制中心、系统支持模块组；云代理服务器端部署有取证功能模块组；