LOGO LOGO
博士生李志的论文被IEEE S&P 2022录用
时间:2021-07-13 10:41:49

李志,实验室2016级博士生,师从金海教授,从事容器安全与容器云安全的研究。近日,李志的论文被第43届IEEE安全与隐私国际学术会议(IEEE Symposium on Security and Privacy, IEEE S&P 2022)录用,论文题目为“Robbery on DevOps: Understanding and Mitigating Illicit Cryptomining on Continuous Integration Service Platforms”


这篇论文首次发现了滥用DevOps平台进行大规模非法挖矿的行为,并系统地调查研究了DevOps平台中非法挖矿攻击的流程、特征以及造成的经济损失。经调查发现,攻击者通过向Dockerfile文件注入恶意命令的方式,利用CI管道中容器镜像的构建过程进行非法挖矿。该攻击行为从2014年出现后一直持续至今,给CI服务及相关云平台造成了严重性能影响及经济损失。当前包括亚马逊云(AWS)、微软云(Azure)、CircleCI和TravisCI在内的23家主流CI服务提供商均在遭受加密挖矿攻击,这类攻击为攻击者带来平均每月超过2万美元的收益。针对该攻击,论文提出了区别于传统挖矿攻击检测的防御技术,旨在通过向CI服务中的任务注入延时抖动,在保障正常任务性能的情况下迫使攻击者无法通过挖矿获益,从而放弃攻击活动。

IEEE S&P是计算机安全领域的顶级国际学术会议,也是中国计算机学会(CCF)推荐的A类会议,该会议的平均录用率约为12%。

(通讯员:李志)