[发明专利]一种基于动态用户行为的云取证方法及系统

说明书

技术领域

本发明属于计算机技术领域，涉及一种基于动态用户行为的云取证方法及系统。

背景技术

计算机取证是利用各种计算机软硬件知识和辨析技术，对计算机入侵、破坏、攻击、欺诈等犯罪行为，按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。它是打击计算机及网络违法犯罪活动、保障信息安全的最直接的武器，它是网络安全技术的一个重要的分支，不仅可以用于网络安全防护和应急响应，必要时还可以介入司法程序，为法律诉讼提供可采信的证据。计算机取证自1991年提出以来，经过十几年的不断深入研究和发展，国内外在此方向上的研究已取得了一定的成果。随着云计算的普及和运用，传统取证方式不再能适应新环境下的取证工作。云计算对传统计算机取证提出了很多新的挑战，主要存在如下四点：

一、分布式存储和司法管辖权跨域

　首先，传统的离线取证在大规模分布式存储的云计算环境中已经失效。传统的离线取证方式必须直接对目标计算机的存储空间进行克隆来收集犯罪证据，但是在分布式存储的云计算环境中却不可行。第一，一个完整的数据会被分割成若干数据块（如64MB），并存储在不同的节点上，而各节点可能存在于不同的地域。不同的地域对数据安全有着不同的规定和司法管辖权要求。这种存储和司法管辖权的非定域性限制使得对云计算环境取证的复杂程度和成本激增；第二，离线取证要求云计算的分布式存储系统节点全部或部分停机，这对云计算服务来说是不可接受的；

二、虚拟化技术

     虚拟化技术作为云计算的关键核心技术，使得云计算成为能够提供动态资源池、虚拟化和高可用性、负载均衡的下一代计算平台，给企业和用户带来了很多的益处；硬件和资源的共享既节约了开销，也为管理带来了方便，同时也革新了许多传统IT技术。然而从安全角度来分析，又带来了很多威胁，除传统的攻击威胁之外，如隐蔽信道、基于VM的Rootkit攻击（VMBR）以及新的恶意软件等也随之而来。另外，由于虚拟化技术支持虚拟机的动态迁移，虽然能提供高可用性、负载均衡、服务器动态扩容等功能，但是也为信息安全和数据安全提出了挑战。虚拟机的动态迁移不仅要考虑安全策略的动态迁移，还有考虑虚拟机安全策略与目的物理主机安全策略的符合性等问题；

三、大数据规模

    传统单机无法解决海量数据的存储、分析问题。目前计算机取证分析的主要依靠是单台计算机（或工作站、大型主机），取证分析过程就是从原始证据中剔除无用数据，找到有用的证据。但随着数据规模、存储器容量的迅速增大，对云计算环境进行取证将产生比单机取证高出若干个数量级的海量数据，这些数据的存储、分析、检索需要海量存储空间和强大的计算处理能力，这都是单台计算机无法完成的。必须采用分布式数据库（NoSQL、关系数据库）、分布式并行编程模型MapReduce等来处理分析取证数据；

四、高性能计算需求

　密码和口令问题一直是计算机取证中经常遇到的难题之一。在云计算时代，取证对口令密码破解的时效性要求更高。在加密算法和安全认证体系不存在巨大漏洞的情况下，穷举已成为口令密码破解的唯一方式，但是穷举所产生的计算量也是普通计算技术无法解决的。在云计算环境中，可以采用分布式并行处理，将对密码和口令的穷举破解任务分解为很多的子任务，由成千上万的虚拟计算节点来完成，能有效满足对口令密码破解的时效性要求。

因此，针对上述云计算的安全威胁和计算机取证遇到的难题，实有必要进行研究开发，以提供一种基于动态用户行为的云取证方法及系统。

发明内容

为解决上述问题，本发明的目的在于提供一种基于动态用户行为的云取证方法及系统。

为实现上述目的，本发明的技术方案为：

一种基于动态用户行为的云取证方法，包括如下步骤：

步骤一、将云计算环境中动态用户行为进行形式化定义；

步骤二、数据收集：

根据动态用户行为的形式化定义，收集来自云中各层(IaaS，PaaS，SaaS)中所有的动态行为及行为数据，存储到原始数据库中；

步骤三、预处理；

对原始数据库中的动态用户行为及相关数据进行整合、归一化、清洗，合并重复数据，统一格式，并将预处理结果存储到数据挖掘库中；

步骤四、数据挖掘；

对数据挖掘库中的数据进行挖掘，将挖掘结果保存到数据分析库中；

步骤五、数据分析；

对数据分析库中的数据进行分析；

步骤六、证据呈现。