西电网信院论文被系统安全领域国际顶级会议ACM CCS收录

近日，西安电子科技大学网络与信息安全学院李金库教授指导的博士研究生杨男子，以第一作者身份投稿ACM CCS 2021年国际学术会议的论文“Demons in the SharedKernel: Abstract Resource Attacks Against OS-level Virtualization”被全文收录，并将做大会报告。ACM CCS的全称是ACM Conference on Computer and Communications Security，已有近三十年的历史，与IEEE S&P、USENIX Security、NDSS并列称为系统安全领域的四大国际顶级学术会议。该会议收录的论文代表着相关领域的最前沿学术研究成果，在业界具有广泛而深远的影响。这项研究成果由西安电子科技大学、浙江大学、明尼苏达大学和蚂蚁集团合作完成，西安电子科技大学的博士研究生杨男子、硕士研究生肖杰韬、李金库教授和马建峰教授是论文的合作者。

该论文聚焦云计算系统中的容器安全问题，揭示了当多个容器共享一个操作系统内核时所产生的一个本质性问题，即内核中存在的复杂数据依赖关系会对操作系统级虚拟化带来极大的安全隐患。基于这些复杂的数据依赖关系，该论文提出了一种新型攻击——抽象资源攻击（Abstract Resource Attack）。这种攻击可以通过耗尽内核中容器间共享的各种数据结构和变量（即抽象资源），使得一个非特权容器能够对其它容器发起拒绝服务（DoS）攻击。而且，该攻击不需要借助于操作系统内核中的任何安全漏洞就可以实现。

论文相关实验表明，抽象资源攻击可以作用于支持容器应用的各种主流操作系统，包括Linux、FreeBSD、Fuchsia等，并且涵盖了操作系统内核的各个功能模块及其为上层提供的各种服务。同时，在保证安全性的前提下，论文作者对国际四大公有云计算厂商（亚马逊、谷歌、微软、阿里巴巴）提供的容器服务进行了测试，结果表明抽象资源攻击均能成功实施。论文作者已经将相关问题披露给了四大云计算厂商，并且得到了他们的回复和确认，相关bug也已经在修复中。

该论文的发表，在一定程度上推动了系统安全相关领域，尤其是容器安全攻防技术的发展。同时，它也向外界充分展示了西安电子科技大学在系统安全领域的最新研究成果，标志着西安电子科技大学在该领域的研究得到了国际同行的进一步认可。