◆韓法旺

（南京森林警察學(xué)院 江蘇 210023）

基于云的社交網(wǎng)絡(luò)取證框架初步研究

◆韓法旺

（南京森林警察學(xué)院 江蘇 210023）

近年來，社交網(wǎng)絡(luò)已經(jīng)成為最受歡迎的信息交流工具之一，人們正在通過它建立自己的社會關(guān)系，進行網(wǎng)上交互。本文致力于社交網(wǎng)絡(luò)的數(shù)字取證。具體而言，考慮到新興的云計算和大數(shù)據(jù)，提出了一個基于云的多層取證框架，該框架包括社交網(wǎng)絡(luò)數(shù)據(jù)的收集，存儲和分析。

數(shù)字取證；社交網(wǎng)絡(luò)；云計算

0 引言

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，通過網(wǎng)絡(luò)進行犯罪變得更加難以察覺。然而，越來越多的犯罪證據(jù)需要從網(wǎng)上獲取，因此，數(shù)字取證技術(shù)在計算機犯罪的檢測和控制方面的重要性更為突出[1]。

數(shù)字取證一般是一個數(shù)字證據(jù)的獲取、存儲、分析和歸檔的過程。網(wǎng)絡(luò)取證技術(shù)是數(shù)字取證技術(shù)的重要組成部分，是利用網(wǎng)絡(luò)技術(shù)處理網(wǎng)絡(luò)犯罪，指那些通過技術(shù)手段對網(wǎng)絡(luò)系統(tǒng)進行攻擊或侵犯等的網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)犯罪的典型特性是隱蔽性、復(fù)雜性和匿名性，它可能導(dǎo)致財產(chǎn)損失，甚至危及公共安全和國家安全。因此，網(wǎng)絡(luò)取證具有更重要的意義。典型的網(wǎng)絡(luò)取證過程如圖1。

圖1 典型的網(wǎng)絡(luò)取證過程

近年來，社交網(wǎng)絡(luò)已經(jīng)成為最受歡迎的信息交流工具之一，人們正在通過社交網(wǎng)絡(luò)增加自己的社會關(guān)系，進行社會交互。因此，本文專注于社交網(wǎng)絡(luò)取證。也就是說，從社交網(wǎng)站收集信息，分析社交網(wǎng)絡(luò)數(shù)據(jù)，并試圖推斷出一些有用的證據(jù)，進行犯罪控制。

此外，新興的云計算和大數(shù)據(jù)的浪潮已經(jīng)使現(xiàn)有的取證方法很難從大規(guī)模的日志和數(shù)據(jù)中獲取到有用的證據(jù)[2]。幸運的是，云計算的特性，如開放標準，快速和安全的存儲和計算服務(wù)，使得我們可以利用云計算基礎(chǔ)上定制的取證模型來進行取證工作。

為此，在本文中，我們提出了一個基于云的取證框架，社交網(wǎng)絡(luò)，社交網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲和分析，通過一個多層次的模塊化框架，使用云計算技術(shù)，包括虛擬化、分布式處理和存儲協(xié)作等模塊。

本文的主要內(nèi)容如下。第2節(jié)介紹相關(guān)工作，在第3節(jié)中，我們討論了基于云的取證框架的細節(jié)。

1 相關(guān)工作

第一類相關(guān)工作是以網(wǎng)絡(luò)為基礎(chǔ)的網(wǎng)絡(luò)取證，其目的是用獲得的網(wǎng)頁瀏覽數(shù)據(jù)進行分析。通常情況下，有三種方法。第一種方法是服務(wù)器端網(wǎng)絡(luò)取證。吳永春等設(shè)計了一種動態(tài)取證方法，用于網(wǎng)站的動態(tài)取證。然而，取證變得更加困難并且耗時耗力，因為云計算集群使得數(shù)據(jù)增長太快。二是客戶端取證。主要的問題是分析所有可能的相關(guān)軟件的日志，比較困難[3]。最后一種方法是基于數(shù)據(jù)流的取證。例如，孫丹等人提出了一個分布式的網(wǎng)絡(luò)取證。然而，這種取證通常很難實現(xiàn)。本文中，我們采用了客戶端的取證方法，通過主動爬行數(shù)據(jù)，使用基于云的取證框架。

第二類相關(guān)工作是社交網(wǎng)絡(luò)取證。李正風(fēng)等研究證據(jù)提取工具來測量在不同的SNS網(wǎng)站提取證據(jù)的能力，并確定當(dāng)前的問題和局限性。mulazzani等人探討了社交網(wǎng)絡(luò)取證分析的重要數(shù)據(jù)來源和分析方法，并利用“臉譜”案例研究。王亞林等為用戶提供計算機上安裝的工具，以提供通過聊天和社交網(wǎng)站檢索其他在線用戶信息的能力。Markus收集社交網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)一個自定義的附加的社交網(wǎng)絡(luò)，結(jié)合網(wǎng)絡(luò)爬行工具進行研究。在本文中，靈感來自于Markus，我們整合了一個基于云的基礎(chǔ)設(shè)施，社交網(wǎng)絡(luò)取證的爬行工具。

2 基于云的社交網(wǎng)絡(luò)取證框架

如前所述,我們致力于社交網(wǎng)絡(luò)領(lǐng)域的網(wǎng)絡(luò)取證問題，并結(jié)合云計算技術(shù)。在這一節(jié)中,我們提出了我們的基于云的取證框架。

圖2 基于云的取證框架

圖2 給出了我們所提出的取證框架的模型。一般來說，底層的基礎(chǔ)設(shè)施是建立在云計算Hadoop套件等，虛擬化技術(shù)是利用多用戶操作和數(shù)據(jù)存儲。然后，構(gòu)建了一個爬蟲收集社交網(wǎng)絡(luò)的數(shù)據(jù)，這些最終反饋到數(shù)據(jù)分析組件，輸出潛在的有用的證據(jù)。

如圖2所示,我們在取證框架中有五層：基礎(chǔ)層、虛擬層、數(shù)據(jù)池層、爬蟲層和分析層?，F(xiàn)在我們詳細描述各層的組成和功能。

（1）基礎(chǔ)設(shè)施層：包括基礎(chǔ)設(shè)施，如數(shù)據(jù)節(jié)點、存儲和網(wǎng)絡(luò)設(shè)施。具體來說，我們使用Hadoop作為我們的基礎(chǔ)設(shè)施，它為上層提供了存儲、計算和網(wǎng)絡(luò)服務(wù)。

（2）虛擬層：包括多租戶架構(gòu)，它允許數(shù)據(jù)分離和共享；并行和分布式處理，提供了多線程服務(wù)、，分布式緩存、大尺度的能力、日志管理、規(guī)范的記錄、靜態(tài)或動態(tài)取證方法的實現(xiàn)，為進一步分析日志提供支持。

（3）數(shù)據(jù)池層：存儲數(shù)據(jù)，包括用戶日志文件、系統(tǒng)日志文件、網(wǎng)絡(luò)日志文件、攻擊日志文件和更新日志文件。請注意，這一層的數(shù)據(jù)是用于管理，而不是抓取網(wǎng)頁。

（4）爬蟲層：是框架中最重要的一層。與上述三個層次不同的是，這一層主要集中在基礎(chǔ)設(shè)施和管理層，這一層是負責(zé)社交網(wǎng)絡(luò)數(shù)據(jù)的收集。爬蟲層包括三個主要組成部分：用戶身份驗證和訪問控制，通常涉及特定的社交網(wǎng)絡(luò)網(wǎng)站的規(guī)則，任務(wù)和資源調(diào)度和管理，控制爬蟲結(jié)構(gòu)的工作流程，下載，解析和存儲抓取數(shù)據(jù)。

（5）分析層：面向應(yīng)用，包括日志查詢、管理和挖掘，分析日志，并提供日志的分析報告；社交網(wǎng)絡(luò)分析，分析社交網(wǎng)絡(luò)數(shù)據(jù)，其他取證應(yīng)用程序上的日志和社會網(wǎng)絡(luò)數(shù)據(jù)。具體來說，我們引入Hadoop Mahout進行數(shù)據(jù)挖掘和分析挖掘潛在的證據(jù)。

此外，圖3給出了分布式爬蟲的結(jié)構(gòu)。首先，多履帶由控制器節(jié)點管理，它負責(zé)啟動、停止和調(diào)度爬蟲。然后，每個爬蟲收集的數(shù)據(jù)轉(zhuǎn)移到HDFS存儲。HDFS控制器節(jié)點分配數(shù)據(jù)塊在不同的數(shù)據(jù)節(jié)點和任務(wù)節(jié)點。這里，我們簡化了部署。在業(yè)務(wù)應(yīng)用程序中定義了作業(yè)腳本，將數(shù)據(jù)結(jié)果存儲到業(yè)務(wù)數(shù)據(jù)庫中，以供進一步使用。

圖3 分布式爬蟲的結(jié)構(gòu)

3 結(jié)論

在本文中，我們提供了一個初步的努力，對社交網(wǎng)絡(luò)取證研究。具體而言，我們提出了一個基于云計算基礎(chǔ)設(shè)施和網(wǎng)絡(luò)爬行組件的取證框架。在未來的工作中，我們希望調(diào)查更多的應(yīng)用程序的取證分析，使用社交網(wǎng)絡(luò)數(shù)據(jù)。

[1]張俊，麥永浩.云計算環(huán)境下仿真計算機取證研究[J]．信息網(wǎng)絡(luò)安全，2011.

[2]丁秋峰，孫國梓.云計算環(huán)境下取證技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2011.

[3]劉春勇，黃志球，王進.基于 SLA 的動態(tài)云體系結(jié)構(gòu)[J].計算機工程，2011.

本文是在南京森林警察學(xué)院2016年度的“中央高校的基本科研項目基金”資助下進行的。項目編號LGZD201601，江蘇高校品牌專業(yè)建設(shè)工程資助項目（項目編號：PPZY2015A058）。