2013 年 5 月 Journal on Communications May 2013
第 34 卷第 5 期
通 信 学 报
Vol.34
No. 5
ICFF:
::
:一种 IaaS 模式下的云取证框架
谢亚龙
1,2
,丁丽萍
1
,林渝淇
1,2
,赵晓柯
1,2
(1. 中国科学院 软件研究所 基础软件国家工程研究中心,北京 100190;2. 中国科学院 研究生院,北京 100190)
摘 要:分析了云取证技术所面临的挑战,提出了一种基础设施即服务(IaaS)云模型下的取证框架 ICFF,并在开
源 IaaS 云平台 Eucalyptus 中进行了实现,最后通过实验的方法对 ICFF 进行了验证分析。实验结果表明,该框架
能够有效并快速地获取云平台中的证据数据。
关键词:云计算;数字取证;云取证;IaaS 模式
中图分类号:TP391 文献标识码:A 文章编号:1000-436X(2013)05-0200-07
ICFF: a cloud forensics framework under the IaaS model
XIE Ya-long
1,2
, DING Li-ping
1
, LIN Yu-qi
1,2
, ZHAO Xiao-ke
1,2
(1. National Engineering Research Center of Fundamental Software, Institute of Software, Chinese Academy of Sciences, Beijing 100190, China;
2. Graduate University of Chinese Academy of Sciences, Beijing 100190, China)
Abstract: Technical challenges of cloud forensics was summarized and a forensics framework under an infrastructure as
a service(IaaS) cloud model called ICFF was proposed. Then, this framework on the open source IaaS cloud platform
Eucalyptus was implemented. Finally, a test case to demonstrate the effectiveness of ICFF was designed. Experiments
show that the framework can obtain evidence data in cloud platform effectively and efficiently.
Key words: cloud computing; digital forensics; cloud forensics; IaaS model
1 引言
随着云计算技术的迅猛发展,云环境下的取证技
术成为了当前的一个研究热点。与传统的数字取证技
术不同,云取证所面对的系统结构更加复杂、数据规
模更加巨大。就拿一个小规模的云来举例,假设该系
统中有 2 000 个节点,每个节点磁盘空间为 320 GB,
RAM 为 2 GB,则总的磁盘取证空间是 640 TB,RAM
取证空间为 4 TB,即使不考虑节点间操作系统及文
件系统的不同,如此 庞 大的数据量是传统 取证
技术无法胜任的。因 此 ,如何从云中获取 完整
可靠的证据数据是当前云取证研究的难点问题
[1]
。
具体而言,云取证主要面临以下 4 大技术难题。
1) 云中数据物理存放地点范围太大。云数据中
心由成千上万台拥有大容量存储设备的 PC 组成,
云系统屏蔽了下层数据存储的实现细节,只对用户
提供一个逻辑上单一的数据存放地址,因此,要想
获得云中数据的物理存放地址并非易事
[2]
。
2) 云应用产生的逻辑上相关的数据可能被分
散存放。云应用所产生的数据被统一存储在逻辑上
连续的地址空间中,而这些数据的物理存放地址可
能并不连续,甚至可能被分散在好几个不同的存储
设备中。
3) 待取证数据规模大,而真正与犯罪相关的信
息很少。云中存储着海量数据,从如此大规模的数
据中提取证据信息有如大海捞针。就以 IaaS 模型举
例,一个虚拟机镜像小则几 GB,大则几十至几百
GB,而存储在这些镜像中的关键证据信息可能就只
收稿日期:2012-08-17;修回日期:2012-12-25
基金项目:国家科技重大专项基金资助项目(2010ZX01036-001-002, 2010ZX01037-001-002);中国科学院知识创新工程基金
资助项目(KGCX2-YW-125, KGCX2-YW-174);国家自然科学基金资助项目(61170072)
Foundation Items: The National Science and Technology Major Project (2010ZX01036-001-002, 2010ZX01037-001-002);
The
Knowledge Innovation Key Directional Program of Chinese Academy of Sciences (KGCX2-YW-125, KGCX2-YW-174); The Na-
tional Natural Science Foundation of China (61170072)
doi:10.3969/j.issn.1000-436x.2013.05.023
剩余6页未读,继续阅读
资源评论
