云计算取证挑战和进展.pdf

《云计算取证挑战和进展.pdf》由会员分享，可在线阅读，更多相关《云计算取证挑战和进展.pdf（36页珍藏版）》请在三个皮匠报告上搜索。

1、公安部第三研究所所长助理 研究员云计算取证 挑战和最新进展 云计算是能以简便的途径和以按需的方式通过网络访问可配置的计算资源（网络、服务器、存储、应用、服务等）的一种计算模式。云计算 云计算一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。云服务通过云计算已定义的接口提供的一种或多种能力。2017年中国公有云(主要指IaaS、PaaS)市场规模将超过150亿元，基于大数据、人工智能等带动的云计算消费将进一步提升公有云的市场需求和空间。-IDC企业、个人的应用和数据从终端设备向云端迁移。网络犯罪、涉网犯罪行为，越来越多的涉及到云环境下计算资源 2014年，部署在

2、阿里云上的某知名游戏公司，遭遇了当时全球互联网史上最大的一次DDoS攻击，攻击流量峰值达每秒453.8GB 2016年，乐视视频遭到了DDOS攻击，峰值流量达200GB，持续了约一天 需要云取证，调查网络攻击、恢复攻击痕迹、确定攻击源、明确攻击者取证需求企业、个人的应用和数据从终端设备向云端迁移。网络犯罪、涉网犯罪行为，越来越多的涉及到云环境下计算资源 2014年iCloud漏洞导致个人照片外传，2017年京东泄露50亿条个人信息 2016年，浙江余姚“311”等6起利用云盘传播淫秽色情信息牟利案件，涉案淫秽视频数量共达百万余部，涉及360云盘、“115网盘”、乐视网盘等云存储 云取证：及时处

3、置阻断、犯罪行为取证调查取证需求网络犯罪已占犯罪总数近三分之一我们面临的最现实安全威胁主要来自网络空间-孟建柱，2016年10月173万（2015年）173万（2015年）1、2013年1月1日正式实施，将电子数据明确为证据的一种类型2、最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定（法发201622号）云平台数据收集 已收集数据的分析 面临的反取证挑战 尚无取证标准 取证技能欠缺 取证体系结构云取证面临的主要困难体系结构数据收集数据分析反取证取证标准技能培训 数据的定位困难 IP、云平台账号、域名 数据的固定保全困难 云存储动态伸缩 云服务器释放

4、 云平台应用痕迹云取证所面临的挑战-数据收集 资源定位的困难 云平台通常提供WAF等防控措施，根据涉案域名，也难以准确获取域名对应的IP地址 云服务器的IP地址属于云平台的IP地址池，随着云服务器的释放、IP地址也随之释放并分配给其他服务器使用，难以根据IP地址确定涉案服务器云取证所面临的挑战-数据收集 固定保全困难 云平台的资源共享特点，使得涉案的虚拟服务器所挂载的虚拟硬盘等存储数据处于离散的状态 部分云服务提供商甚至采用了动态伸缩的存储技术，虚拟服务器释放出来的空间会被立即分配给其他的虚拟服务器使用 此外，云计算环境下涉案主机通常数量众多，数据调取只能通过云服务提供商进行。不仅数据调取困难

5、，而且数据调取的速度也非常慢 E租宝案调取了300多台虚拟服务器，调取耗时近半年云取证所面临的挑战-数据收集 已收集数据的分析困难 静态分析困难 镜像格式无法识别 海量证据数据难以分析 删除数据无法恢复 动态分析困难 已获取镜像无法组网仿真云取证所面临的挑战-数据分析 静态分析困难 数据分析是云取证的另外一项挑战。云服务提供商为了统一的服务器管理，通常会对服务器操作系统进行定制化的开发，导致提取的镜像难以识别分析 在无法进行仿真分析的情况下，对大量的涉案云服务器存储镜像进行逐一取证将导致效率非常低下，大量隐藏在业务流程中的信息将被丢失 在存储格式无法识别的情况下，已删除的文件也难以通过文件系统

6、及签名进行恢复分析云取证所面临的挑战数据分析困难 动态分析困难 仿真分析是对服务器进行取证的一项重要手段，通过对仿真启动的应用进行分析取证，将能够极快的梳理清楚业务逻辑 云服务器的操作系统是定制化系统，拿到了服务器镜像文件也无法在常规服务器上进行仿真 云服务器通常数量众多，服务器之间的通联关系受到了云平台上的虚拟路由、虚拟防火墙的多重控制，在线下非常难以模拟出相似的环境云取证所面临的挑战数据分析困难 反取证是云取证所面临的又一项挑战 用完即删是云平台的一大特点，但是也给反取证提供了便利 云服务器销毁极其迅速，以阿里云为例，释放一台ECS仅需数分钟云取证所面临的挑战-反取证 时效性在对抗反取证方