专利名称:一种基于动态用户行为的云取证方法及系统的制作方法
技术领域:
本发明属于计算机技术领域,涉及一种基于动态用户行为的云取证方法及系统。
背景技术:
计算机取证是利用各种计算机软硬件知识和辨析技术,对计算机入侵、破坏、攻击、欺诈等犯罪行为,按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。它是打击计算机及网络违法犯罪活动、保障信息安全的最直接的武器,它是网络安全技术的一个重要的分支,不仅可以用于网络安全防护和应急响应,必要时还可以介入司法程序,为法律诉讼提供可采信的证据。计算机取证自1991年提出以来,经过十几年的不断深入研究和发展,国内外在此方向上的研究已取得了一定的成果。随着云计算的普及和运用,传统取证方式不再能适应新环境下的取证工作。云计算对传统计算机取证提出了很多新的挑战,主要存在如下四点
一、分布式存储和司法管辖权跨域
首先,传统的离线取证在大规模分布式存储的云计算环境中已经失效。传统的离线取证方式必须直接对目标计算机的存储空间进行克隆来收集犯罪证据,但是在分布式存储的云计算环境中却不可行。第一,一个完整的数据会被分割成若干数据块(如64MB),并存储在不同的节点上,而各节点可能存在于不同的地域。不同的地域对数据安全有着不同的规定和司法管辖权要求。这种存储和司法管辖权的非定域性限制使得对云计算环境取证的复杂程度和成本激增;第 二,离线取证要求云计算的分布式存储系统节点全部或部分停机,这对云计算服务来说是不可接受的;
二、虚拟化技术
虚拟化技术作为云计算的关键核心技术,使得云计算成为能够提供动态资源池、虚拟化和高可用性、负载均衡的下一代计算平台,给企业和用户带来了很多的益处;硬件和资源的共享既节约了开销,也为管理带来了方便,同时也革新了许多传统IT技术。然而从安全角度来分析,又带来了很多威胁,除传统的攻击威胁之外,如隐蔽信道、基于VM的Rootkit攻击(VMBR)以及新的恶意软件等也随之而来。另外,由于虚拟化技术支持虚拟机的动态迁移,虽然能提供高可用性、负载均衡、服务器动态扩容等功能,但是也为信息安全和数据安全提出了挑战。虚拟机的动态迁移不仅要考虑安全策略的动态迁移,还有考虑虚拟机安全策略与目的物理主机安全策略的符合性等问题;
三、大数据规模
传统单机无法解决海量数据的存储、分析问题。目前计算机取证分析的主要依靠是单台计算机(或工作站、大型主机),取证分析过程就是从原始证据中剔除无用数据,找到有用的证据。但随着数据规模、存储器容量的迅速增大,对云计算环境进行取证将产生比单机取证高出若干个数量级的海量数据,这些数据的存储、分析、检索需要海量存储空间和强大的计算处理能力,这都是单台计算机无法完成的。必须采用分布式数据库(NoSQL、关系数据库)、分布式并行编程模型MapReduce等来处理分析取证数据;四、高性能计算需求
密码和口令问题一直是计算机取证中经常遇到的难题之一。在云计算时代,取证对口令密码破解的时效性要求更高。在加密算法和安全认证体系不存在巨大漏洞的情况下,穷举已成为口令密码破解的唯一 方式,但是穷举所产生的计算量也是普通计算技术无法解决的。在云计算环境中,可以采用分布式并行处理,将对密码和口令的穷举破解任务分解为很多的子任务,由成千上万的虚拟计算节点来完成,能有效满足对口令密码破解的时效性要求。因此,针对上述云计算的安全威胁和计算机取证遇到的难题,实有必要进行研究开发,以提供一种基于动态用户行为的云取证方法及系统。
发明内容
为解决上述问题,本发明的目的在于提供一种基于动态用户行为的云取证方法及系统。为实现上述目的,本发明的技术方案为
一种基于动态用户行为的云取证方法,包括如下步骤
步骤一、将云计算环境中动态用户行为进行形式化定义;
步骤二、数据收集
根据动态用户行为的形式化定义,收集来自云中各层(IaaS, PaaS, SaaS)中所有的动态行为及行为数据,存储到原始数据库中;
步骤三、预处理;
对原始数据库中的动态用户行为及相关数据进行整合、归一化、清洗,合并重复数据,统一格式,并将预处理结果存储到数据挖掘库中;
步骤四、数据挖掘;
对数据挖掘库中的数据进行挖掘,将挖掘结果保存到数据分析库中;
步骤五、数据分析;
对数据分析库中的数据进行分析;
步骤六、证据呈现。进一步地,所述步骤二中,通过云中各数据收集Agent,收集来自云各层中所有的云用户、云服务管理人员、异常用户的动态行为及行为数据以及安全设备所产生的与动态用户行为相关的安全事件、日志、告警信息。进一步地,所述步骤四中,数据分析库采用键值模式,按列存储数据,以用户为主键,时间状态r以时间戳来表示,环境状态以列族方式,分布式存储该用户所有的动态行为及行为数据。进一步地,所述步骤五中,对数据分析库中的数据进行关联分析、序列模式分析、孤立点分析;其中,通过关联规则分析,将海量分析数据中的大量按特定规律分布的关联规则挖掘出来;通过序列模式分析,找到入侵行为的时间序列、事件序列特征;而通过孤立点分析,分析数据中的异常数据,找出异常数据模式,获取有效证据信息。本发明的另一技术方案为
提供一种基于动态用户行为的云取证系统,包括行为数据收集模块、连接行为数据收集模块的数据预处理模块、连接数据预处理模块的数据挖掘模块、连接数据挖掘模块的数据分析模块、连接数据分析模块的证据呈现模块以及复数个连接各模块的数据库;其中,所述数据库包括有原始数据库,用于存储收集到的原始动态用户行为及相关行为数据;数据挖掘库,用于保存经过整合、归一化、清洗后的数据;数据分析库,用于保存经过数据挖掘后的数据;证据库,用于保存经过取证分析后的证据。进一步地,所述行为数据收集模块根据动态用户行为的形式化定义,收集用户行为及相关数据,并存储到原始数据库中。进一步地,所述数据预处理模块用于对原始数据库中的用户行为及相关数据进行整合、归一化、清洗,合并重复数据,统一格式,并将预处理结果存储到数据挖掘库中。进一步地,所述数据挖掘模块对数据挖掘库中的数据进行挖掘,将挖掘结果保存到数据分析库中。进一步地,所述数据分析模块基于MapReduce对数据分析库中的数据进行关联分析、序列模式分析、孤立点分析;所述证据呈现模块将数据分析模块的分析结果以可视化形式进行呈现。相较于现有技术,本发明基于动态用户行为的云取证方法及系统提出动态用户行为的形式化定义,以此为基础,通过收集动态用户行为及行为数据,保存这些数据为原始证据数据;经过数据整合、清洗和数据挖掘后,形成取证分析数据,存储在数据分析库(键值数据库)中,通过MapReduce对取证分析数据进行关联分析、序列模式分析、孤立点分析,挖掘出潜在的用户行为模式及可能存在的攻击行为,形成取证证据,以可视化的方式进行呈现,将云计算的高性能计算能力和大规模分布式存储环境应用于计算机取证分析,以解决云计算取证中遇到的各种问题。
图1是本发明基于动态用户行为的云取证系统的原理 图2是本发明基于动态用户行为的云取证方法的流程图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明基于动态用户行为的云取证方法提出动态用户行为的形式化定义,以此为基础,收集动态用户行为及行为数据,经过数据整合、清洗和数据挖掘后,形成取证分析数据,通过MapReduce对取证分析数据进行分析,挖掘出潜在的用户行为模式及可能存在的攻击行为,形成取证证据,以可视化的方式进行呈现。参照图1、图2所示,本发明基于动态用户行为的云取证方法具体如下 步骤一、将云计算环境中动态用户行为进行形式化 定义将云计算环境中动态用户行为形式化定义为五元组A^<S\0,0PJ,E> ,其中,具体定义
(I)A :动态用户行为;(2)S :行为主体,动态用户行为的执行者,由云用户、云服务管理人员、异常用户或代表云用户、云服务管理人员、异常用户的程序、进程来构成;
(3)O :行为客体,动态用户行为所作用的对象,如云基础设施虚拟机、虚拟存储、数据库、云服务开发工具和环境、云服务、云环境中安全设备及策略、安全事件、审计日志等;
(4)OP :动态用户行为所执行的操作或动作,包括正常的云基础设施、云服务管理以及主动的攻击行为和异常访问;
(5)动态用户行为的时态状态,即动态用户行为所发生的起始时间、终止时间、持续时间;
(6)万:动态用户行为的环境状态,即云计算环境中各种客观因素组成的环境要素,如操作系统加载的驱动程序和服务进程,虚拟机快照,操作系统日志,虚拟机镜像、网络位置等。动态用户行为的环境状态包括动态用户行为发生前的环境状态和发生后的环境状态。其中,所述用户包括但不限于如下用户
(1)云服务用户租借云服务提供商CSP所提供云服务的用户;
(2)云管理用户云服务提供商CSP的负责管理维护云基础设施、云服务的人员;
(3)异常用户通过未授权方式访问以及恶意攻击云服务的人员。所述动态用户行为包括但不限于如下行为
(I)云服务访问行为,包括
(a)客户端的用户登录,安装、使用浏览器第三方插件,执行搜索,访问云服务站点,上传/下载文件,以及在表单 中输入信息并提交;
(b)IaaS层的请求、启动、关闭虚拟机实例;安装、配置虚拟机操作系统,部署、配置应用程序;上传/下载数据;监控虚拟机运行状态;保存虚拟机快照;安装、配置安全软件(防火墙、入侵检测/入侵防护、防病毒等);查看安全事件日志和虚拟机系统操作日志;虚拟存储资源管理;虚拟网络资源管理;
(c) PaaS层的上传、部署、配置、启动应用程序;借助云服务提供商CSP提供的开发工具和环境开发应用程序;访问数据库服务,上传/下载数据,进行数据库事务操作;
(d) SaaS层的配置、访问云服务,上传/下载数据,查看服务日志;
(2)云服务管理行为,包括
(a)IaaS层的物理主机操作系统的配置、性能监控;虚拟机监控器安装、配置;物理存储设备的加载启动、配置;物理交换机、路由器的策略配置;
(b)PaaS层的云服务开发环境和工具管理,数据库、中间件安装、配置;性能监控与调
优;
(c)SaaS层的云服务安装、配置、监控;
(d)安全设备的安装、配置安全设备(防火墙、入侵检测/入侵防护、防病毒、Web应用防火墙等);安全策略配置分发、安全事件管理、安全审计、审计日志检索、查看防火墙和入侵检测告警;
(e)云管理云计费管理、云审计、云资源和应用管理;
(3)异常行为,如应用层攻击行为(DoS和DDoS攻击),使用恶意插件,输入含有攻击意图的字符串,如SQL语句和脚本,攻击云服务和基础设施,非法访问未授权数据,执行恶意代码;利用虚拟机管理程序的漏洞,盗用虚拟机的权限并进行非法访问和破坏;云服务用户和云管理人员由于疏漏而造成的误操作;云服务管理人员的有意破坏和泄露用户数据。步骤二、数据收集
根据动态用户行为的形式化定义,通过云中各数据收集Agent,收集来自云中各层(IaaS, PaaS, SaaS)中所有的云用户、云服务管理人员、异常用户的动态行为及行为数据以及安全设备所产生的与动态用户行为相关的安全事件、日志、告警信息,存储到原始数据库中;
步骤三、预处理
对原始数据库中的动态用户行为及相关数据进行整合、归一化、清洗,合并重复数据,统一格式,并将预处理结果存储到数据挖掘库中;
步骤四、数据挖掘
对数据挖掘库中的数据进行挖掘,将挖掘结果保存到数据分析库中。数据分析库采用键值模式,按列存储数据,以用户为主键,时间状态r以时间戳来表示,环境状态以列族方式,分布式存储该用户所有的动态行为及行为数据;
步骤五、数据分析
基于MapReduce对数据分析库中的数据进行关联分析、序列模式分析、孤立点分析。通过关联规则分析,将海量分析数据中的大量按特定规律分布的关联规则挖掘出来;通过序列模式分析,找到入侵行为的时间序列、事件序列特征;通过孤立点分析,分析数据中的异常数据,找出异常数据模式,获取有效证据信息;将证据保存到证据库中;
步骤六、证据呈现
将得到的证据信息以可视化形式进行呈现,为用户提供取证服务。参照图1所示,本发明基于动态用户行为的云取证系统包括有行为数据收集模块、连接行为数据收集模块的数据预处理模块、连接数据预处理模块的数据挖掘模块、连接数据挖掘模块的数据分析模块、连接数据分析模块的证据呈现模块以及复数个连接各模块的数据库。其中,所述数据库包括有原始数据库,用于存储收集到的原始动态用户行为及相关行为数据;数据挖掘库,用于保存经过整合、归一化、清洗后的数据;数据分析库,用于保存经过数据挖掘后的数据;证据库,用于保存经过取证分析后的证据。所述行为数据收集模块根据动态用户行为的形式化定 义,收集用户行为及相关数据,并存储到原始数据库中。所述数据预处理模块用于对原始数据库中的用户行为及相关数据进行整合、归一化、清洗,合并重复数据,统一格式,并将预处理结果存储到数据挖掘库中;所述数据挖掘模块对数据挖掘库中的数据进行挖掘,将挖掘结果保存到数据分析库中;所述数据分析模块基于MapReduce对数据分析库中的数据进行关联分析、序列模式分析、孤立点分析;所述证据呈现模块将数据分析模块的分析结果以可视化形式进行呈现。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于动态用户行为的云取证方法及系统,其特征在于,包括如下步骤 步骤一、将云计算环境中动态用户行为进行形式化定义; 步骤二、数据收集 根据动态用户行为的形式化定义,收集来自云中各层(IaaS, PaaS, SaaS)中所有的动态行为及行为数据,存储到原始数据库中; 步骤三、预处理; 对原始数据库中的动态用户行为及相关数据进行整合、归一化、清洗,合并重复数据,统一格式,并将预处理结果存储到数据挖掘库中; 步骤四、数据挖掘; 对数据挖掘库中的数据进行挖掘,将挖掘结果保存到数据分析库中; 步骤五、数据分析; 对数据分析库中的数据进行分析; 步骤六、证据呈现。
2.如权利要求1所述基于动态用户行为的云取证方法,其特征在于所述步骤二中,通过云中各数据收集Agent,收集来自云各层中所有的云用户、云服务管理人员、异常用户的动态行为及行为数据以及安全设备所产生的与动态用户行为相关的安全事件、日志、告警信息。
3.如权利要求2所述基于动态用户行为的云取证方法,其特征在于所述步骤四中,数据分析库采用键值模式,按列存储数据,以用户为主键,时间状态r以时间戳来表示,环境状态以列族方式,分布式存储该用户所有的动态行为及行为数据。
4.如权利要求3所述基于动态用户行为的云取证方法,其特征在于所述步骤五中,对数据分析库中的数据进行关联分析、序列模式分析、孤立点分析;其中,通过关联规则分析,将海量分析数据中的大量按特定规律分布的关联规则挖掘出来;通过序列模式分析,找到入侵行为的时间序列、事件序列特征;而通过孤立点分析,分析数据中的异常数据,找出异常数据模式,获取有效证据信息。
5.一种基于动态用户行为的云取证系统,其特征在于,包括行为数据收集模块、连接行为数据收集模块的数据预处理模块、连接数据预处理模块的数据挖掘模块、连接数据挖掘模块的数据分析模块、连接数据分析模块的证据呈现模块以及复数个连接各模块的数据库;其中,所述数据库包括有原始数据库,用于存储收集到的原始动态用户行为及相关行为数据;数据挖掘库,用于保存经过整合、归一化、清洗后的数据;数据分析库,用于保存经过数据挖掘后的数据;证据库,用于保存经过取证分析后的证据。
6.如权利要求5所述的基于动态用户行为的云取证系统,其特征在于所述行为数据收集模块根据动态用户行为的形式化定义,收集用户行为及相关数据,并存储到原始数据库中。
7.如权利要求6所述的基于动态用户行为的云取证系统,其特征在于所述数据预处理模块用于对原始数据库中的用户行为及相关数据进行整合、归一化、清洗,合并重复数据,统一格式,并将预处理结果存储到数据挖掘库中。
8.如权利要求7所述的基于动态用户行为的云取证系统,其特征在于所述数据挖掘模块对数据挖掘库中的数据进行挖掘,将挖掘结果保存到数据分析库中。
9.如权利要求8所述的基于动态用户行为的云取证系统,其特征在于所述数据分析模块基于MapReduce对数据分析库中的数据进行关联分析、序列模式分析、孤立点分析;所述证据呈现模块将数据分析模块的分析结果以可视化形式进行呈现。
全文摘要
本发明公开了一种基于动态用户行为的云取证方法及系统提出动态用户行为的形式化定义,以此为基础,通过收集动态用户行为及行为数据,保存这些数据为原始证据数据;经过数据整合、清洗和数据挖掘后,形成取证分析数据,存储在数据分析库(键值数据库)中,通过MapReduce对取证分析数据进行关联分析、序列模式分析、孤立点分析,挖掘出潜在的用户行为模式及可能存在的攻击行为,形成取证证据,以可视化的方式进行呈现,将云计算的高性能计算能力和大规模分布式存储环境应用于计算机取证分析,以解决云计算取证中遇到的各种问题。
文档编号G06F17/30GK103051707SQ201210555958
公开日2013年4月17日 申请日期2012年12月20日 优先权日2012年12月20日
发明者李清玉 申请人:浪潮集团有限公司