本發(fā)明屬于云計(jì)算和計(jì)算機(jī)取證領(lǐng)域����,涉及一種面向私有云平臺(tái)的取證方法����。
背景技術(shù):
::云計(jì)算的安全性越來越受到人們的關(guān)注,如果安全問題解決的不好����,會(huì)成為制約其發(fā)展的關(guān)鍵。云計(jì)算擁有虛擬化���、分布式處理����、分布式存儲(chǔ)等技術(shù),這使得傳統(tǒng)的數(shù)據(jù)安全的方法很難在云計(jì)算體系下有效果���,它也具有多租戶�,數(shù)據(jù)異地匿名機(jī)制等特點(diǎn)�,這給不法分子提供了很多犯罪的機(jī)會(huì)。云取證作為一個(gè)新興的技術(shù)正在不斷發(fā)展����,它是云計(jì)算和計(jì)算機(jī)取證的交叉學(xué)科。云計(jì)算本身的特性使得傳統(tǒng)的計(jì)算機(jī)取證框架取證工具不再適用���,同時(shí)云取證過程比傳統(tǒng)數(shù)字取證涉及的調(diào)查對(duì)象更多�,不僅包括云用戶��,也包括云服務(wù)提供商等�����,交互也越來越復(fù)雜。與傳統(tǒng)的數(shù)字取證技術(shù)相比�,云取證技術(shù)也面臨各種的挑戰(zhàn)。第一����,云取證工具現(xiàn)在不太成熟,云取證的取證人員只能憑借以往的經(jīng)驗(yàn)和傳統(tǒng)取證技術(shù)�,很可能破壞原始數(shù)據(jù)導(dǎo)致取證失敗。第二�����,云服務(wù)模型不用會(huì)增加取證的難度��,私有云和公有云架構(gòu)的不同也會(huì)導(dǎo)致取證的難度不同���。目前云取證的理論研究情況���,主要是證據(jù)獲取和證據(jù)分析兩方面�����。證據(jù)獲取階段是指取證調(diào)查者借助取證工具對(duì)犯罪現(xiàn)場(chǎng)行證據(jù)收集的過程目前該領(lǐng)域的工作主要包括殘余數(shù)據(jù)證據(jù)獲取階段是指取證調(diào)查者借助取證工具對(duì)犯罪現(xiàn)場(chǎng)行證據(jù)收集的過程��。證據(jù)分析階段是指取證調(diào)查者借助分析工具、分析算法對(duì)獲取的證據(jù)進(jìn)行分析的過程��,該領(lǐng)域的研究工作主要集中在數(shù)據(jù)源的分析���、事件重構(gòu)�、文件搜索和基于云的取證分析算法方面��。技術(shù)實(shí)現(xiàn)要素:有鑒于此���,本發(fā)明的目的在于提供一種獲取云平臺(tái)日志的新方法����,其應(yīng)用于OpenStasck環(huán)境中���,在該方法設(shè)計(jì)的目的是為了通過Nova的擴(kuò)展接口��,將我們?nèi)∽C日志文件比如防火墻等敏感日志給記錄下來��。為達(dá)到上述目的�����,本發(fā)明提供如下技術(shù)方案:一種面向私有云平臺(tái)的取證方法�����,通過提取防火墻日志和鏡像日志實(shí)現(xiàn)云平臺(tái)取證����,包括Nova拓展模塊和Horizon拓展模塊,所述的Nova拓展模塊通過Nova的擴(kuò)展接口記錄取證日志文件�����;所述Horizon拓展模塊用于實(shí)現(xiàn)web頁(yè)面上下載取證日志文件����。進(jìn)一步的,所述Nova拓展模塊的實(shí)現(xiàn)環(huán)境是devstack�,Nova拓展方法是通過創(chuàng)建一個(gè)新的extension子類派生于“nova.api.openstack.extensions:ExtensionDescriptor”,并覆寫父類中的方法“get_resources()”����,在方法“get_resources()”中,通過返回ResourceExtensions列表來注冊(cè)新的資源類型或URL路徑或Controller����;默認(rèn)情況下OpenStack默認(rèn)不啟動(dòng)防火墻日志�,通過擴(kuò)展接口將防火墻所丟棄的數(shù)據(jù)包都放在一個(gè)特定的目錄備份下來�,再通過數(shù)據(jù)篩選的規(guī)則提取需要的日志�����,磁盤鏡像日志存儲(chǔ)在主機(jī)的系統(tǒng)中操作系統(tǒng)����。進(jìn)一步的,所述特定的目錄為“/opt/stack/logs”目錄����,每個(gè)服務(wù)有自己的日志文件,并從命名上區(qū)分���;日志文件的命名規(guī)則為:Novaapi的各個(gè)子服務(wù)的日志都以“n”開頭����;Glance的日志文件都是“g”開頭�����;Cinder����、Neutron的日志分別以“c”和“q”開頭����。進(jìn)一步的����,所述Horizon拓展模塊是基于Django框架,通過定制Dashboard來修改底層的源碼����,Dashboard里擴(kuò)展添加一個(gè)panel,panel可以自己設(shè)計(jì)命名規(guī)則�����,在pannel定義好table表項(xiàng)���,實(shí)現(xiàn)拓Horizon拓展���,滿足功能模塊的web頁(yè)面展示,并在web頁(yè)面上下載防火墻日志和磁盤鏡像日志��。本發(fā)明的有益效果在于:可以通過云管理平臺(tái)而不是通過客戶機(jī)去交互�,并且加入了容器技術(shù),更能在隔離的環(huán)境分主機(jī)去定位各主機(jī)日志數(shù)據(jù)��,解決了多租戶數(shù)據(jù)混雜的問題。附圖說明為了使本發(fā)明的目的����、技術(shù)方案和有益效果更加清楚���,本發(fā)明提供如下附圖進(jìn)行說明:圖1為本發(fā)明調(diào)查人員取證方式示意圖�����;圖2為OpenStack架構(gòu)���。具體實(shí)施方式下面將結(jié)合附圖,對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)的描述����。圖1為本發(fā)明調(diào)查人員取證方式示意圖,圖2為OpenStack架構(gòu)��,本方案總共分為兩個(gè)模塊�,主要提取防火墻日志和鏡像日志供取證使用:1、Nova拓展模塊設(shè)計(jì)的目的是為了通過Nova的擴(kuò)展接口���,將取證日志文件比如防火墻等敏感日志給記錄下來���,實(shí)驗(yàn)的環(huán)境是devstack��,日志都統(tǒng)一放在/opt/stack/logs目錄下�����,每個(gè)服務(wù)有自己的日志文件�,可以從命名上區(qū)分��。Novaapi的各個(gè)子服務(wù)的日志都以“n”開頭:比如n-api.log是nova-api的日志�、n-cpu.log是nova-compute的日志。Glance的日志文件都是“g”開頭:比如g-api.log是glance-api的日志���,g-reg.log是glance-registry的日志�。Cinder����、Neutron的日志分別以“c”和“q”開頭。Nova拓展方法是創(chuàng)建一個(gè)新的extension子類應(yīng)該派生于“nova.api.openstack.extensions:ExtensionDescriptor”�,并覆寫父類中的方法“get_resources()”,在方法“get_resources()”中,通過返回ResourceExtensions列表,來注冊(cè)你的新的資源類型/URL路徑/Controller等����,參考代碼如下:以下代碼會(huì)創(chuàng)建一個(gè)新的資源類型“mynova”:defget_resources(self):resources=[]res=extensions.ResourceExtension('mynova',MyNovaController(),member_actions={})resources.append(res)returnresources為NovaAPI中已有的資源類型�,添加新的controller方法�����,在mynova類中����,覆寫父類中的方法“get_controller_extensions”�����,在函數(shù)“get_controller_extensions”��,返回一系列controller列表���,這樣新資源“mynova”會(huì)和URL匹配�。默認(rèn)情況下OpenStack默認(rèn)不啟動(dòng)防火墻日志�,通過實(shí)現(xiàn)擴(kuò)展接口,將防火墻所丟棄的數(shù)據(jù)包都放在一個(gè)特定的目錄備份下來���,再通過數(shù)據(jù)篩選的規(guī)則可以提取需要的日志��,磁盤映像日志存儲(chǔ)在主機(jī)的系統(tǒng)中操作系統(tǒng)��,2�、Horizon拓展模塊通過定制Dashboard來,修改底層的源碼���,Dashboard里擴(kuò)展添加一個(gè)panel�����,panel可以根據(jù)你自己命名規(guī)則��,Horizon是基于Django框架的���,在pannel定義好table等表項(xiàng),就可以拓展好Horizon�,滿足功能模塊的web頁(yè)面展示,可以在web頁(yè)面上下載防火墻日志和磁盤鏡像日志�。最后說明的是,以上優(yōu)選實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制���,盡管通過上述優(yōu)選實(shí)施例已經(jīng)對(duì)本發(fā)明進(jìn)行了詳細(xì)的描述�����,但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�����,可以在形式上和細(xì)節(jié)上對(duì)其作出各種各樣的改變��,而不偏離本發(fā)明權(quán)利要求書所限定的范圍���。當(dāng)前第1頁(yè)1 2 3 當(dāng)前第1頁(yè)1 2 3