取证分析SaaS云的安全体系及关键技术研究

6 取证分析SaaS云审计取证技术

    云审计系统是一套对云计算环境进行日志记录和审计分析的系统，它记录和审计的主要信息包括虚拟机相关日志、云计算软硬件环境日志、云计算安全日志等，本文同时实现了利益无关的第三方对用户数据远程完整性审计技术。

    1）虚拟机相关日志：包括虚拟机部署日志、虚拟机迁移、虚拟机活动日志等；2）云计算软硬件环境日志：包括服务器、工作站和应用软件等的等软硬件环境日志；3）云计算安全日志：

    包括防火墙、安全网关、虚拟机入侵检测等的日志。

    云审计系统的日志记录了有关日常事件、安全事件或者误操作警报的日期及具体内容等必要的、有价值的信息，这些对云计算网络管理员和云环境犯罪调查人员都非常有用。同时，它还能提供系统监控、查询、报表等功能，能为恢复系统和生成调查报告提供帮助。

    本文的云审计系统在审计上具有更多的安全性，能支持远程数据完整性验证并提供数据隐私保护，还能支持动态数据操作和多用户数据批量审计。

    传统的安全审计只是将日志数据通过网络传输到一个专用的日志服务器并进行分析，这种方法会造成一些重要的日志数据在云计算环境中被窃取、篡改，同时这些日志在服务器上也没有得到良好的保护，也存在被窃取和篡改的可能性。

本文通过共享内存传输日志数据，能克服传统的备份日志数据方法的缺点。日志数据传输的整个过程都是通过用户域和特权域之间的共享内存，避免了被网络上一些木马程序窃取的危险。云审计系统运行在特权域操作系统上的文件系统中，各客户操作系统之间完全隔离，他们有各自隔离的物理内存和文件系统，因此，即使客户操作系统己经被攻击者攻破，要破坏云审计系统在特权域操作系统中文件系统上的日志数据是很困难的。这种云审计系统运行在虚拟环境中，对系统的CPU 和内存等资源的影响很小，相对于这个虚拟环境对日志数据备份安全性的提高所起到的作用来说，对系统资源的占用相对显得微不足道，同时通过共享内存的方式传输日志，大大提高日志传输的效率。

    云审计系统主要包括四个模块：日志采集模块，共享内存读取模块，共享内存模块，虚拟机监控器接口模块、分析统计模块。

    1）日志采集模块负责将各种产生的日志数据采集到一个指定的文件系统中，并且对这个指定的文件系统进行实时的监控，当发现有新的日志数据产生后，通过共享内存将日志数据备份到安全的文件系统中。2）共享内存读取模块将已经写入共享内存的日志数据读取出来，并存放在预制好的一个安全的文件系统中。3）共享内存模块为日志的传输提供了一个安全的传输路径，以及一个合理的数据缓冲区。4）虚拟机监控器接口模块为特权域操作系统和用户域操作系统提供了通信接口，使得日志采集模块和共享内存读取模块通过接口发送消息，以期达到同步运行，提高安全审计的实时性。5）分析统计模块提供查询、分析、统计功能，自动发现审计日志中的异常行为，并进行报警。

    7 结束语

    目前，计算机犯罪带来的问题日益严重。自“熊猫烧香”案发以来，社会对于计算机犯罪的关注度越来越高。与此同时，计算机取证技术作为打击计算机犯罪的重要手段也逐渐成为业内研究的热点。如何在“云”中找到攻击的证据，以及如何提取证据，并对证据适当地保存与分析，都是在云计算环境下的取证要点。我们必须及时发现攻击者的位置，及时地处理应对这样的攻击，至少能记录到相关的证据。由于这里牵涉到诸多的因素和环节，它将是云计算取证的难点之一。本文在这方面也只是作了一些初步的研究，还有许多问题需要进一步深入研究。