基于共享内存的云取证证据获取方法及系统的制作方法
【技术领域】
[0001]本发明属于信息安全技术领域,具体涉及一种基于共享内存的云取证证据获取方法及系统。
【背景技术】
[0002]随着互联网以及计算机技术的发展,云技术在现代各种工作和生活中的影响力也得到了显著提升,但是云平台上的各种安全问题也随之而来。对云平台上的各类安全问题进行分析后发现,其中有些安全问题是攻击者利用云平台易扩展和配置、隐蔽性好的特点,仅仅把云技术当作一个手段,这一类问题并不是由云平台本身安全性能引起的;而另一种安全问题是由云平台本身存在的漏洞而造成的安全问题。对于云平台自身漏洞所造成的安全问题是难以检测和防御的,因此也造成了比较大的危害。
[0003]针对于上述的情况,在云平台上的取证工作就显得额外的重要。在近年来,针对于云平台攻击的取证工作是人们非常关注和广泛研究的课题。但是由于云平台的特性,目前取证方法和框架存在着很多的不足和限制。进行云取证时首先不能够让攻击者察觉,同时也不能够影响其他正常云服务的运行。这也就意味着,要满足规避检查的需求,并且尽可能少对系统的正常运行产生影响,这不仅仅限制了传统取证手段在云平台上的运用,同时也在证据定位和传输方面有着很多的限制。其中最难以解决的限制就是,现有的云取证的方法很多都需要云提供商的允许、配合甚至是参与的前提下才能实现,所以在云提供商不配合的情况下如何开展云取证工作,就成了当前亟需解决的问题。
【发明内容】
[0004]为解决上述问题,本发明公开了基于共享内存的云取证证据获取方法及系统,实现了云平台上处于相同物理主机上虚拟机之间的信息的传递功能,能够在云提供商不配合或者不能察觉的情况下获取取证的证据,并能够作为并存虚拟机之间进行信息传递的通信手段。
[0005]为了达到上述目的,本发明提供如下技术方案:
基于共享内存的云取证证据获取方法,其特征在于,包括如下步骤:
步骤一,在虚拟机被启动前设置其当前内存、最大内存和最小内存;
步骤二,在接收虚拟机中,使用规则探测方法来探测云平台中VMM所使用的内存调控规则中的上限和下限;
步骤三:在接收虚拟机中,使用自调整模块降低自身的内存的大小,把部分空闲的内存放到共享内存池中;
步骤四:在发送虚拟机中,使用发送模块把要传输的数据写入到内存页当中,然后持续不断的申请物理页,来促使VMM增大该虚拟机的内存直到内存大小达到最大内存为止;步骤五:在发送虚拟机中,通过释放进程空间来降低内存的使用率,使其低于VMM调整内存规则中的下限,促使VMM降低该虚拟机的内存大小,把包含有要传递数据的内存回收到共享内存池中;
步骤六:在接收虚拟机中,把自身的内存大小设置为最大内存来从共享内存池中获取包含要传输数据的内存页;
步骤七:在接收虚拟机中,使用接收模块来获取当前的内存数据,并进行转存,当数据较大时需要按照顺序重构数据。
[0006]进一步的,所述步骤二中规则探测方法包括以下步骤:
直接启动虚拟机,观察虚拟机的内存的状态,当虚拟机内存持续减少时,等待虚拟机的内存大小稳定不变后,从当前的状态下获取规则下限值相关数据;当虚拟机内存持续增加时,等待虚拟机的内存大小稳定不变后,从当前的状态下获取规则上限值相关数据;当规则上限未被探测时,探测规则上限,当规则下限未被探测时,探测规则下限。
[0007]进一步的,所述探测上限的方法包括以下步骤:
判断当前的虚拟机的内存大小,当前的内存的大小等于最大内存时,关闭虚拟机,增大虚拟机最大内存的配置,然后重新穷的那个虚拟机后重新执行规则探测方法;
当前的内存的大小不等于最大内存时,持续不断的增加虚拟机的内存使用率,直至虚拟机的总的内存大小出现增大的情况的为止,从而探测出规则中的上限。
[0008]进一步的,所述探测下限的方法包括以下步骤:
当前的内存的大小等于最小内存时,增大内存的使用率使其接近于规则中的上限。当内存的大小不再增大后,一点一点的降低内存的使用率,直至虚拟机的内存的总大小出现降低的情况时,从而探测出规则中的下限;
当前的内存的大小不等于最小内存时,持续不断的降低内存使用率,直至出现内存大小有突然降低的情况,从而探测出规则中的下限;
当虚拟机内存的大小增大到最大内存时,关闭虚拟机,增大虚拟机最大内存的配置,然后重新穷的那个虚拟机后重新执行规则探测方法。
[0009]进一步的,所述步骤四中在将传输的数据写入到内存页当中时,包括以下步骤: 当数据较小时,在内存页中写入数据直到要传输的数据在内存中所占据的比重达到传入的比重参数为止;当要传输的数据的大小比较大时,将要传输的数据进行分割,并用特定的符号标注该碎片的顺序,再将这些数据碎片中的数据填充入内存中。
[0010]进一步的,所述步骤七中进行数据转存时,对于完全处于控制下的虚拟机,针对操作系统的内核代码进行修改,实现物理原数据的转存;对于不处于完全控制之下的虚拟机来,利用内存转存工具对数据进行转存。
[0011]进一步的,所述步骤七中重构数据时,根据顺序标记进行重构。
[0012]本发明还提供了基于共享内存的云取证证据获取系统,包括系统驱动模块、发送模块、接收模块和自调整模块,所述系统驱动模块、发送模块、接收模块分别安装在接收虚拟机和发送虚拟机中,所述自调整模块安装在接收虚拟机中,所述虚拟机由VMM中的气球驱动控制进行内存的调整;所述接收虚拟机和发送虚拟机通过接收模块和发送模块传输数据;所述系统驱动模块使用气球驱动,所述发送模块用于创建要进行传输的数据,并且把该数据传输到共享内存池中,所述接收模块用于从共享内存中获取要传输的数据或文件,在获取文件以后对于所获取的数据进行识别和重构,所述自调整模块用于调整虚拟机自身的内存的大小配置; 发送模块包括数据填充组件和第一气球驱动触发组件,
所述数据填充组件用于将传输的数据写入到内存页当中,在数据填充过程中,当数据较小时,在内存页中写入数据直到要传输的数据在内存中所占据的比重达到传入的比重参数为止;当要传输的数据的大小比较大时,将要传输的数据进行分割,并用特定的符号标注该碎片的顺序,再将这些数据碎片中的数据填充入内存中;
所述第一气球驱动触发组件用于执行气球驱动触发方法和规则检测方法,
所述气球驱动触发方法用于将已经存在于虚拟机内存中的要传输的数据回收到共享内存池中;
所述规则检测方法用于检测VMM中的气球驱动所使用的内存调整规则;
所述接收模块包括数据识别和接收组件、第二气球驱动触发组件,
所述第二气球驱动触发组件用于获取共享内存池中的包含要