基于共享內(nèi)存的云取證證據(jù)獲取方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域��,具體涉及一種基于共享內(nèi)存的云取證證據(jù)獲取方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)以及計(jì)算機(jī)技術(shù)的發(fā)展,云技術(shù)在現(xiàn)代各種工作和生活中的影響力也得到了顯著提升��,但是云平臺(tái)上的各種安全問題也隨之而來���。對(duì)云平臺(tái)上的各類安全問題進(jìn)行分析后發(fā)現(xiàn)��,其中有些安全問題是攻擊者利用云平臺(tái)易擴(kuò)展和配置�、隱蔽性好的特點(diǎn)�,僅僅把云技術(shù)當(dāng)作一個(gè)手段,這一類問題并不是由云平臺(tái)本身安全性能引起的���;而另一種安全問題是由云平臺(tái)本身存在的漏洞而造成的安全問題�。對(duì)于云平臺(tái)自身漏洞所造成的安全問題是難以檢測(cè)和防御的��,因此也造成了比較大的危害����。
[0003]針對(duì)于上述的情況,在云平臺(tái)上的取證工作就顯得額外的重要�����。在近年來�,針對(duì)于云平臺(tái)攻擊的取證工作是人們非常關(guān)注和廣泛研究的課題��。但是由于云平臺(tái)的特性�����,目前取證方法和框架存在著很多的不足和限制。進(jìn)行云取證時(shí)首先不能夠讓攻擊者察覺��,同時(shí)也不能夠影響其他正常云服務(wù)的運(yùn)行���。這也就意味著�����,要滿足規(guī)避檢查的需求�,并且盡可能少對(duì)系統(tǒng)的正常運(yùn)行產(chǎn)生影響�����,這不僅僅限制了傳統(tǒng)取證手段在云平臺(tái)上的運(yùn)用���,同時(shí)也在證據(jù)定位和傳輸方面有著很多的限制。其中最難以解決的限制就是�����,現(xiàn)有的云取證的方法很多都需要云提供商的允許、配合甚至是參與的前提下才能實(shí)現(xiàn)����,所以在云提供商不配合的情況下如何開展云取證工作,就成了當(dāng)前亟需解決的問題�����。
【發(fā)明內(nèi)容】
[0004]為解決上述問題��,本發(fā)明公開了基于共享內(nèi)存的云取證證據(jù)獲取方法及系統(tǒng)���,實(shí)現(xiàn)了云平臺(tái)上處于相同物理主機(jī)上虛擬機(jī)之間的信息的傳遞功能�,能夠在云提供商不配合或者不能察覺的情況下獲取取證的證據(jù),并能夠作為并存虛擬機(jī)之間進(jìn)行信息傳遞的通信手段���。
[0005]為了達(dá)到上述目的,本發(fā)明提供如下技術(shù)方案:
基于共享內(nèi)存的云取證證據(jù)獲取方法���,其特征在于�����,包括如下步驟:
步驟一�����,在虛擬機(jī)被啟動(dòng)前設(shè)置其當(dāng)前內(nèi)存���、最大內(nèi)存和最小內(nèi)存;
步驟二��,在接收虛擬機(jī)中�����,使用規(guī)則探測(cè)方法來探測(cè)云平臺(tái)中VMM所使用的內(nèi)存調(diào)控規(guī)則中的上限和下限��;
步驟三:在接收虛擬機(jī)中��,使用自調(diào)整模塊降低自身的內(nèi)存的大小,把部分空閑的內(nèi)存放到共享內(nèi)存池中;
步驟四:在發(fā)送虛擬機(jī)中���,使用發(fā)送模塊把要傳輸?shù)臄?shù)據(jù)寫入到內(nèi)存頁當(dāng)中���,然后持續(xù)不斷的申請(qǐng)物理頁����,來促使VMM增大該虛擬機(jī)的內(nèi)存直到內(nèi)存大小達(dá)到最大內(nèi)存為止;步驟五:在發(fā)送虛擬機(jī)中�����,通過釋放進(jìn)程空間來降低內(nèi)存的使用率�����,使其低于VMM調(diào)整內(nèi)存規(guī)則中的下限,促使VMM降低該虛擬機(jī)的內(nèi)存大小��,把包含有要傳遞數(shù)據(jù)的內(nèi)存回收到共享內(nèi)存池中��;
步驟六:在接收虛擬機(jī)中,把自身的內(nèi)存大小設(shè)置為最大內(nèi)存來從共享內(nèi)存池中獲取包含要傳輸數(shù)據(jù)的內(nèi)存頁;
步驟七:在接收虛擬機(jī)中���,使用接收模塊來獲取當(dāng)前的內(nèi)存數(shù)據(jù),并進(jìn)行轉(zhuǎn)存��,當(dāng)數(shù)據(jù)較大時(shí)需要按照順序重構(gòu)數(shù)據(jù)�����。
[0006]進(jìn)一步的,所述步驟二中規(guī)則探測(cè)方法包括以下步驟:
直接啟動(dòng)虛擬機(jī)���,觀察虛擬機(jī)的內(nèi)存的狀態(tài),當(dāng)虛擬機(jī)內(nèi)存持續(xù)減少時(shí)�,等待虛擬機(jī)的內(nèi)存大小穩(wěn)定不變后����,從當(dāng)前的狀態(tài)下獲取規(guī)則下限值相關(guān)數(shù)據(jù)��;當(dāng)虛擬機(jī)內(nèi)存持續(xù)增加時(shí)�����,等待虛擬機(jī)的內(nèi)存大小穩(wěn)定不變后��,從當(dāng)前的狀態(tài)下獲取規(guī)則上限值相關(guān)數(shù)據(jù)���;當(dāng)規(guī)則上限未被探測(cè)時(shí)��,探測(cè)規(guī)則上限���,當(dāng)規(guī)則下限未被探測(cè)時(shí),探測(cè)規(guī)則下限��。
[0007]進(jìn)一步的��,所述探測(cè)上限的方法包括以下步驟:
判斷當(dāng)前的虛擬機(jī)的內(nèi)存大小,當(dāng)前的內(nèi)存的大小等于最大內(nèi)存時(shí)�,關(guān)閉虛擬機(jī)����,增大虛擬機(jī)最大內(nèi)存的配置,然后重新窮的那個(gè)虛擬機(jī)后重新執(zhí)行規(guī)則探測(cè)方法�����;
當(dāng)前的內(nèi)存的大小不等于最大內(nèi)存時(shí)��,持續(xù)不斷的增加虛擬機(jī)的內(nèi)存使用率��,直至虛擬機(jī)的總的內(nèi)存大小出現(xiàn)增大的情況的為止,從而探測(cè)出規(guī)則中的上限�����。
[0008]進(jìn)一步的�,所述探測(cè)下限的方法包括以下步驟:
當(dāng)前的內(nèi)存的大小等于最小內(nèi)存時(shí),增大內(nèi)存的使用率使其接近于規(guī)則中的上限�。當(dāng)內(nèi)存的大小不再增大后,一點(diǎn)一點(diǎn)的降低內(nèi)存的使用率����,直至虛擬機(jī)的內(nèi)存的總大小出現(xiàn)降低的情況時(shí)���,從而探測(cè)出規(guī)則中的下限��;
當(dāng)前的內(nèi)存的大小不等于最小內(nèi)存時(shí),持續(xù)不斷的降低內(nèi)存使用率�,直至出現(xiàn)內(nèi)存大小有突然降低的情況,從而探測(cè)出規(guī)則中的下限���;
當(dāng)虛擬機(jī)內(nèi)存的大小增大到最大內(nèi)存時(shí),關(guān)閉虛擬機(jī)���,增大虛擬機(jī)最大內(nèi)存的配置,然后重新窮的那個(gè)虛擬機(jī)后重新執(zhí)行規(guī)則探測(cè)方法���。
[0009]進(jìn)一步的,所述步驟四中在將傳輸?shù)臄?shù)據(jù)寫入到內(nèi)存頁當(dāng)中時(shí)��,包括以下步驟: 當(dāng)數(shù)據(jù)較小時(shí),在內(nèi)存頁中寫入數(shù)據(jù)直到要傳輸?shù)臄?shù)據(jù)在內(nèi)存中所占據(jù)的比重達(dá)到傳入的比重參數(shù)為止���;當(dāng)要傳輸?shù)臄?shù)據(jù)的大小比較大時(shí)����,將要傳輸?shù)臄?shù)據(jù)進(jìn)行分割���,并用特定的符號(hào)標(biāo)注該碎片的順序��,再將這些數(shù)據(jù)碎片中的數(shù)據(jù)填充入內(nèi)存中���。
[0010]進(jìn)一步的,所述步驟七中進(jìn)行數(shù)據(jù)轉(zhuǎn)存時(shí)�����,對(duì)于完全處于控制下的虛擬機(jī)�����,針對(duì)操作系統(tǒng)的內(nèi)核代碼進(jìn)行修改���,實(shí)現(xiàn)物理原數(shù)據(jù)的轉(zhuǎn)存;對(duì)于不處于完全控制之下的虛擬機(jī)來�,利用內(nèi)存轉(zhuǎn)存工具對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)存。
[0011]進(jìn)一步的�����,所述步驟七中重構(gòu)數(shù)據(jù)時(shí),根據(jù)順序標(biāo)記進(jìn)行重構(gòu)�。
[0012]本發(fā)明還提供了基于共享內(nèi)存的云取證證據(jù)獲取系統(tǒng),包括系統(tǒng)驅(qū)動(dòng)模塊����、發(fā)送模塊、接收模塊和自調(diào)整模塊�����,所述系統(tǒng)驅(qū)動(dòng)模塊�����、發(fā)送模塊����、接收模塊分別安裝在接收虛擬機(jī)和發(fā)送虛擬機(jī)中,所述自調(diào)整模塊安裝在接收虛擬機(jī)中�����,所述虛擬機(jī)由VMM中的氣球驅(qū)動(dòng)控制進(jìn)行內(nèi)存的調(diào)整��;所述接收虛擬機(jī)和發(fā)送虛擬機(jī)通過接收模塊和發(fā)送模塊傳輸數(shù)據(jù);所述系統(tǒng)驅(qū)動(dòng)模塊使用氣球驅(qū)動(dòng)��,所述發(fā)送模塊用于創(chuàng)建要進(jìn)行傳輸?shù)臄?shù)據(jù)���,并且把該數(shù)據(jù)傳輸?shù)焦蚕韮?nèi)存池中�����,所述接收模塊用于從共享內(nèi)存中獲取要傳輸?shù)臄?shù)據(jù)或文件����,在獲取文件以后對(duì)于所獲取的數(shù)據(jù)進(jìn)行識(shí)別和重構(gòu)�,所述自調(diào)整模塊用于調(diào)整虛擬機(jī)自身的內(nèi)存的大小配置; 發(fā)送模塊包括數(shù)據(jù)填充組件和第一氣球驅(qū)動(dòng)觸發(fā)組件����,
所述數(shù)據(jù)填充組件用于將傳輸?shù)臄?shù)據(jù)寫入到內(nèi)存頁當(dāng)中,在數(shù)據(jù)填充過程中����,當(dāng)數(shù)據(jù)較小時(shí),在內(nèi)存頁中寫入數(shù)據(jù)直到要傳輸?shù)臄?shù)據(jù)在內(nèi)存中所占據(jù)的比重達(dá)到傳入的比重參數(shù)為止��;當(dāng)要傳輸?shù)臄?shù)據(jù)的大小比較大時(shí),將要傳輸?shù)臄?shù)據(jù)進(jìn)行分割����,并用特定的符號(hào)標(biāo)注該碎片的順序�,再將這些數(shù)據(jù)碎片中的數(shù)據(jù)填充入內(nèi)存中;
所述第一氣球驅(qū)動(dòng)觸發(fā)組件用于執(zhí)行氣球驅(qū)動(dòng)觸發(fā)方法和規(guī)則檢測(cè)方法�����,
所述氣球驅(qū)動(dòng)觸發(fā)方法用于將已經(jīng)存在于虛擬機(jī)內(nèi)存中的要傳輸?shù)臄?shù)據(jù)回收到共享內(nèi)存池中�����;
所述規(guī)則檢測(cè)方法用于檢測(cè)VMM中的氣球驅(qū)動(dòng)所使用的內(nèi)存調(diào)整規(guī)則���;
所述接收模塊包括數(shù)據(jù)識(shí)別和接收組件、第二氣球驅(qū)動(dòng)觸發(fā)組件����,
所述第二氣球驅(qū)動(dòng)觸發(fā)組件用于獲取共享內(nèi)存池中的包含要