[发明专利]一种云端数据在线取证系统及方法

说明书

本发明公开了一种云端数据在线取证系统及方法，本方案由云取证分析系统，存证数据云，调证接口，存证接口配合构成；云取证分析系统用于获取动态的取证分析需求，根据取证分析需求通过调证接口向对应的云服务商调取取证分析所需的云数据；存证数据云通过存证接口接收并存储云服务商返回的云数据；云取证分析系统从存证数据云中获取云服务商返回的云数据进行云数据的取证分析形成数据证据。本方案通过构建能够进行在线取证的云平台，实现进行云端数据的全程在线取证，大大简化了云数据取证的难度，有效解决了现有云端取证整体所面临着数据固定难、证据提取难、事件重现难的问题。

技术领域

本发明涉及数据取证技术，具体涉及云端数据的取证技术。

背景技术

随着云计算的普及，越来越多的网站、APP后端都架设在公有云上。数据库、日志数据也在云端存储，云端数据成为非常重要的线索和证据来源，在案件查办的过程中具有重大意义。云上数据的取证和传统的取证相比具有较大的难度，公有云平台服务器规模大、待取证数据量大、网络环境复杂、数据分布范围广，涉及的机器多，也较难扣押，获取数据和分析数据的难度都很大。

传统针对计算机和手机等设备的取证方式较为直接，可以获取或者扣押设备，采用专用的分析设备和软件进行数据提取。这种取证方式将无法应用于对云端数据的取证。

当前，对云端数据的取证方式主要有两种：

第一种，远程取证，例如使用爬虫的方式，远程获取网站的数据；对于部署在云端的APP，可以从用户设备上提取到凭证，进行登录，远程获取云上数据。

第二种，调证，向云服务商提出调证文书和需求，从云服务商获得日志数据、虚拟机镜像等，目前主要是线下调证的方式(人工进行递交文书、拷贝相关数据)，之后对于获取到的镜像，目前一般采用离线仿真的方式，搭建环境，将镜像加载运行，进行现场还原。

通过上述两种方式进行对云端数据进行取证，整体面临着数据固定难、证据提取难、事件重现难的问题。

上述问题在实际操作过程中具体体现如下。

(1)调证时间久：大型的案事件，可能涉及到上百台服务器，向云服务商线下调证的方式，需要拷贝大量数据，需要的时间长。

(2)仿真成本高：需要采用提前购买服务器，并搭建云环境进行仿真，不能按需申请并使用资源，这里的仿真主要为加载虚拟机镜像，并还原操作系统、应用、网站等过程。

(3)仿真操作复杂：将大量的涉案虚拟机镜像加载、配置，并分析网络连接关系并配置，操作复杂，难度高。

(4)分析协作性差：在一个地点搭建的云环境并进行仿真分析，难以支持异地分析，还需搭建安全接入环境等，较为复杂。

发明内容

针对现有云端数据取证方案所存在的问题，本发明的目的在于提供一种云端数据在线取证系统，并基于该取证系统提供一种云端数据取证方法，由此实现对云端数据进行快速且有效的数据固定、证据提取、事件重现。

为了达到上述目的，本发明提供的云端数据在线取证系统，包括：云取证分析系统，存证数据云，调证接口，存证接口；所述云取证分析系统用于获取动态的取证分析需求，根据取证分析需求通过调证接口向对应的云服务商调取取证分析所需的云数据；所述存证数据云通过存证接口接收并存储云服务商返回的云数据；所述云取证分析系统从存证数据云中获取云服务商返回的云数据进行云数据的取证分析形成数据证据。

进一步地，所述云取证分析系统以云服务的形式运行。

进一步地，所述云取证分析系统中至少包括如下一种功能单元：

调证单元，所述调证单元接收调证指令，生成标准格式的调证请求，通过调证接口向对应的云服务商调取证据数据；