云存储应用是目前使用最广泛的云计算服务之一,它在给我们带来便捷的同时,也导致了新的安全问题,企业的商业机密、工作资料可能通过云存储泄露,反动、色情等非法内容通过云得到更泛滥的传播。泄密和非法信息的传播行为,给企业经营和社会安定带来严重的威胁。同时,由于云存储随时随地多客户端登录使用的特点,使得犯罪分子更容易对其他用户的云存储进行恶意操作,而对其的追查工作则很难展开,云计算环境给传统的数字取证带来诸多挑战。因此,提出一种针对云存储服务的取证方法具有很大的现实意义。本文在传统数字取证模型的基础上,提出一种具有迭代性的云存储取证模型,通过基于网络、基于主机和基于服务器的三次迭代取证,逐步深入分析,最终获取全面的证据。本文主要研究该取证模型的第一次迭代过程,即云存储网络取证。首先通过分析云存储服务的网络协议,总结出在进行不同行为操作时可以获取的信息,验证了取证工作的可行性。并提出一种提取行为特征值的方法,使得通过特征值匹配识别用户行为成为可能。之后结合云存储取证模型,设计了云存储网络取证系统,实现对用户行为的识别和相关信息的提取,进而将这些数据作为证据存储起来,若发生针对云存储的犯罪行为,即可作为初步证据被使用,并为进一步的取证工作提供依据。另外,云存储高速网络环境以及带来的海量数据,可能带来丢包率、漏报率和误报率较高的问题,本文在系统设计时通过零拷贝技术、基于哈希的TCP流重组、以及模式匹配等技术,确保了高速网络和海量数据环境下系统高效、准确地对数据包进行获取及分析。