基于大型商业应用私有云取证方法初探

◆杨 鹏

（重庆警察学院信息安全系 重庆 401331）

云计算的核心是海量数据的存储和计算，通常由几十万台甚至几百万台计算机构成的计算机群对数据进行聚合和分布处理，然后通过网络对客户提供服务。

在云计算时代，对于数据的计算、处理等操作，都可以交给云计算数据中心进行。云计算平台可以看成是一个强大的“云”网络，不仅将众多并发的网络计算和服务链接起来，还利用虚拟化计算对每个服务器能力进行拓展，这样就通过云计算平台使得各自的资源整合起来，拥有超级计算和存储能力[1]。

云计算分为公有云、私有云、混合云、行业云等。电子数据取证的对象可以是整个大数据，也可以是某一私有云的大数据，也可以是某一公有云的大数据。由于庞大的存储及复杂的网络拓扑，给电子数据取证带来困难，特别是处理大型商业应用私有云取证的违法犯罪对传统的电子数据勘查取证提出了巨大的挑战。本文将从实战的角度出发，围绕网络分析、数据分析及数量庞大的数据库分析，提出相应取证对策。

1 云计算下电子数据取证面临的挑战

随着云计算和云存储的不断成熟和完善，我们在享受云计算带来便捷的同时也发现云的不确定性和危险性，尤其针对司法部门，在云计算下的电子取证和固定是一个敏感而又棘手的问题[2]。

1.1 取证数据量大、数据类型繁多

传统的计算机取证环境通常分为单机、涉及网络环境下的取证。取证环境较为单一，需要取证的对象也比较明确。而云环境下为公有云、私有云和混合云，都是建立在大量的服务器集群和IDC数据中心的基础上，数据的起始计量单位至少是P（1000个T）、E（100万个T）或Z（10亿个T），并且数据类型繁多，包括网络日志、音频、视频、图片、地理位置信息等，而且还有众多自建的私有类型，常用的数据浏览工具无法正常识别，使取证人员面临的取证环境较传统计算机取证环境复杂，基于传统计算机取证环境下的取证规则不再完全适用。

1.2 取证无实体

根据国际电子取证惯例，取证分为证据扣押、证据获取、证据分析与证据呈现四个阶段[3]。证据扣押是各类国际电子取证手册列为取证过程开始的第一项。在传统计算机取证环境下，需要物理扣押的证据比较明确，但在云计算环境下，云计算涉及大量的服务器集群及相关网络设备和存储设备。传统的计算机取证环境通常可以确定证据线索存在位置，可以使用成熟的取证方法获取或者镜像相关内存和磁盘，但由于云计算环境资源动态调度的特性，取证人员难以确定某个特定时间，需要取证的虚拟机运行在哪个服务器上，很难找到实体，这使传统的针对内存和磁盘的取证方法往往不再适用[4]。

1.3 价值证据密度低

在云计算环境下，嫌疑人使用的数据往往只是云计算环境下海量存储中非常小的部分，可能涉及众多的存储设备和服务器，数据价值密度相对较低。如随着物联网的广泛应用，信息感知无处不在，信息海量，但价值密度较低，如何通过强大的机器算法更迅速地完成数据的价值“提纯”，是亟待解决的难题。对云计算环境下海量数据获取处理时，往往难以获取到犯罪嫌疑人大量的涉案证据和线索。

2 取证框架

本文从实战角度出发，针对大型商业私有云的复杂取证环境，提出网络拓扑及数据库的取证框架，解决云计算环境下的取证难点。

2.1 网络拓扑取证

对于商业私有云环境取证，首先要理清整个系统的网络拓扑，不然对于几百台服务器的集群环境、庞大的存储阵列，将无从下手。有些云环境分布在多个省市，甚至跨境，这对于网络拓扑的分析尤为重要。

为了安全和高效率，云环境的网络拓扑，都要考虑负载均衡和冗余设计，所以线路看起来复杂，不便于传统的硬件突破来解决网络传输问题[5]。典型云拓扑图如图1所示。

图1 常见集群环境网络拓扑

2.1.1 基于漏洞的取证

对于商业私有云环境，通常使用一套系统管理程序配置整个虚拟化网络，通过管理软件的系统漏洞，渗透进入虚拟网络系统，可以清楚了解整个网络拓扑，甚至可以直接用来控制计算机进行取证，这对电子数据取证，获取整个数据流向将非常有效。

2.1.2 获取管理员权限的取证

获取整个系统的管理员权限无疑是最简单直接的方法，直接提取管理员技术文档，瞬间整个系统网络拓扑就变得清晰，但在实践中，犯罪嫌疑人往往不会轻易提供管理员账号、密码，所以针对管理员电子设备展开取证获取系统管理员最高权限很有必要。

2.1.3 黑盒测试方式取证

黑盒测试，在实践中是用得最多，也最有效的方法。通过对核心路由器、交换机进行抓包，根据节点流量及网络流向，显示网络访问拓扑图，目前市面上有许多网络抓包产品可以辅助做该项工作。

首先在交换机上找个空闲未使用的物理接口（通过外接入测试交换机也可以），通过交换机其他端口监控该端口流量，将装有Wireshark等监控软件的PC机接入交换机的监视端口开启抓包功能（PC机的IP地址、掩码、网关可随意指定，无特殊要求）。根据捕获数据包的协议类型放入数据库进行分类处理，通过数据库统计、分析，最终获得整个系统网络拓扑，流程图如图2所示。

图2 抓包处理流程图

2.2 海量数据库取证方法

商业私有云取证的核心为数据库取证，绝大多数与案件相关的重要证据均存在于数据库中，但由于大型商业私有云的数据库类型多，数据量大，并且大多采用了分库分表设计，取证过程通常需要对几十亿条数据记录进行合并、去重、统计分析，常规单台取证服务器根本无法满足计算需求，本文根据实战提出切实可行解决方案。

2.2.1 数据文件统一化

根据案件证据需要，将商业私有云中的云服务器、以及密切相关的Oracle、MySQL等关系型数据库中的数据进行导出，并进行数据格式统一化处理，将所有数据记录全部导出为“.sql”格式。

2.2.2 数据文件平面化

编制专门的JAVA程序，部署在高性能Linux集群上，将导出的“.sql”文件转化为Hadoop所要求的文件格式，进行平面化转化，部分转换JAVA代码如图3所示。

图3 Java转换代码

将处理完成后的平面文件上传Hadoop集群环境，此步即可解决云数据库分库分表的问题，我们只需对同一名称表加上不同的时间戳，合并上传到统一文件夹中，即完成了合库合表，如图4所示。

图4 t_pay_record表

2.2.3 重建数据库

在Hadoop集群中，采用“Impala”查询分析引擎创建相应的数据表结构，将数据表的格式与上传的数据文件目录进行关联匹配，以完成数据表的重建。在完成数据重建工作和熟悉掌握数据库结构的基础上，可以轻松完成上亿条数据的合并、去重及统计分析，为案件侦办提供了有力的证据支撑。

3 结束语

云计算是一门很深的科学，而且到目前为止，云计算还没有统一的框架、定义和简单可信赖的基础，因此基于云计算下的电子数据取证和调查也仅限于当前的技术和行业层面。从实战经验来看，本文的取证方法虽然解决了证据获取和证据分析问题，但如何构建适用于各类云环境下取证框架并得到司法认可还需进一步深入研究。