发明名称 |
一种云计算环境下的取证方法及系统 |
摘要 |
本发明提供一种云计算环境下的取证方法,其步骤包括:云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;对可疑数据进行分析,获取数字证据。本发明将可能含有犯罪证据的可疑数据存储在专门的取证虚拟机中,大大提高了云计算环境下取证的效率。 |
申请公布号 |
CN102739774B |
申请公布日期 |
2015.05.27 |
申请号 |
CN201210170280.1 |
申请日期 |
2012.05.28 |
申请人 |
中国科学院软件研究所 |
发明人 |
丁丽萍;谢亚龙 |
分类号 |
H04L29/08(2006.01)I;H04L29/06(2006.01)I;G06F9/455(2006.01)I |
主分类号 |
H04L29/08(2006.01)I |
代理机构 |
北京君尚知识产权代理事务所(普通合伙) 11200 |
代理人 |
余长江 |
主权项 |
一种云计算环境下的取证方法,其步骤包括:1)云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;2)云服务供应商为每一个经过审核的云应用颁发数字证书,云应用直接调用所述应用程序编程接口,利用所述数字证书对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机,所述取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问;所述可疑数据是指可能含有犯罪证据的定制的数据,包括某种日志或者某种内存易失性数据;3)所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;若所述取证虚拟机中发现未签名的数据,则通知取证虚拟机的管理域并报警;在虚拟监控机中设有取证虚拟机保护模块,防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改;4)对所述取证虚拟机中存储的可疑数据进行分析,获取数字证据;取证虚拟机的管理域定时向云服务提供商发送请求,云服务提供商收到后进行回复;若没收到回复,取证虚拟机的管理域报警且启动虚拟机重放器,记录云服务提供商的虚拟服务器的运行信息,包括系统运行的线程、程序发起的系统调用和用户对系统的操作记录,并在事后进行回放取证。 |
地址 |
100190 北京市海淀区中关村南四街4号 |