論文の概要: MOAT: Towards Safe BPF Kernel Extension

• arxiv url: http://arxiv.org/abs/2301.13421v3
• Date: Fri, 7 Jun 2024 03:23:39 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-10 23:14:33.737540
• Title: MOAT: Towards Safe BPF Kernel Extension
• Title（参考訳）: MOAT: 安全なBPFカーネル拡張を目指す
• Authors: Hongyi Lu, Shuai Wang, Yechang Wu, Wanning He, Fengwei Zhang,
• Abstract要約: LinuxカーネルはBerkeley Packet Filter (BPF) を広く使用し、ユーザが記述したBPFアプリケーションをカーネル空間で実行できるようにする。 最近の攻撃は、BPFプログラムがセキュリティチェックを回避し、カーネルメモリへの不正アクセスを得る可能性があることを示している。 我々は,Intel Memory Protection Keys (MPK) を用いて,潜在的に悪意のあるBPFプログラムを分離するシステムMOATを提案する。
• 参考スコア（独自算出の注目度）: 10.303142268182116
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The Linux kernel extensively uses the Berkeley Packet Filter (BPF) to allow user-written BPF applications to execute in the kernel space. The BPF employs a verifier to check the security of user-supplied BPF code statically. Recent attacks show that BPF programs can evade security checks and gain unauthorized access to kernel memory, indicating that the verification process is not flawless. In this paper, we present MOAT, a system that isolates potentially malicious BPF programs using Intel Memory Protection Keys (MPK). Enforcing BPF program isolation with MPK is not straightforward; MOAT is designed to alleviate technical obstacles, such as limited hardware keys and the need to protect a wide variety of BPF helper functions. We implement MOAT on Linux (ver. 6.1.38), and our evaluation shows that MOAT delivers low-cost isolation of BPF programs under mainstream use cases, such as isolating a BPF packet filter with only 3% throughput loss.
• Abstract（参考訳）: LinuxカーネルはBerkeley Packet Filter (BPF) を広く使用し、ユーザが記述したBPFアプリケーションをカーネル空間で実行できるようにする。 BPFは、ユーザが供給するBPFコードのセキュリティを静的にチェックするために検証器を使用する。 最近の攻撃は、BPFプログラムがセキュリティチェックを回避し、カーネルメモリへの不正アクセスを取得できることを示し、検証プロセスが欠陥のないものではないことを示している。 本稿では,Intel Memory Protection Keys (MPK) を用いて,潜在的に悪意のあるBPFプログラムを分離するMOATを提案する。 MOATは、限られたハードウェアキーや様々なBPFヘルパー機能を保護する必要性など、技術的な障害を軽減するように設計されている。 我々は、Linux上でMOATを実装し(約6.1.38)、MOATは、BPFパケットフィルタを3%のスループット損失で分離するなど、BPFプログラムの低コスト分離を実現することを示す。

関連論文リスト

• Bridge the Points: Graph-based Few-shot Segment Anything Semantically [79.1519244940518]
  プレトレーニング技術の最近の進歩により、視覚基礎モデルの能力が向上した。 最近の研究はSAMをFew-shot Semantic segmentation (FSS)に拡張している。 本稿では,グラフ解析に基づく簡易かつ効果的な手法を提案する。
  論文  参考訳（メタデータ） (2024-10-09T15:02:28Z)
• SafeBPF: Hardware-assisted Defense-in-depth for eBPF Kernel Extensions [1.0499611180329806]
  SafeBPFは,eBPFプログラムをカーネルの他の部分から分離し,メモリ安全性上の脆弱性の悪用を防止する汎用設計である。 SafeBPFは,所望のセキュリティ特性を達成しつつ,マクロベンチマーク上で最大4%のオーバーヘッドを発生させることを示す。
  論文  参考訳（メタデータ） (2024-09-11T13:58:51Z)
• VeriFence: Lightweight and Precise Spectre Defenses for Untrusted Linux Kernel Extensions [0.07696728525672149]
  Linuxの拡張バークレーパケットフィルタ(BPF)は、ユーザが提供するバイトコードをジャストインタイムでコンパイルすることで、ユーザ/カーネルの遷移を避ける。 2018年に公表されたSpectreの脆弱性を緩和するためには、潜在的に危険なプログラムを拒否する防衛措置を実施せざるを得なかった。 We propose VeriFence, an enhancement to the kernel's Spectre Defenses that reduce the number of BPF application program from 54% to zero。
  論文  参考訳（メタデータ） (2024-04-30T12:34:23Z)
• KEN: Kernel Extensions using Natural Language [1.293634133244466]
  KENは、Kernel Extensionsを自然言語で書くことを可能にするフレームワークである。 ユーザの英語のプロンプトを与えられたeBPFプログラムを合成する。 我々は,KEN が正しい eBPF プログラムを80% で生成していることを示し,これは LLM を用いたプログラム合成ベースラインに比べて2.67 倍の改善であることを示した。
  論文  参考訳（メタデータ） (2023-12-09T10:45:54Z)
• Iterative Shallow Fusion of Backward Language Model for End-to-End Speech Recognition [48.328702724611496]
  エンドツーエンド自動音声認識(ASR)のための外部後方言語モデル(BLM)を利用する新しい浅層融合(SF)法を提案する。 前回の繰り返しで計算されたスコアに対して新たに算出されたBLMスコアに代えて、BLMを後方方向の部分的なASR仮説(すなわち、次のトークンからスタートシンボルまで)に繰り返し適用する。 注意に基づくエンコーダデコーダASRシステムを用いた実験では,FIFはFLMを用いたSFと同等の性能を示した。
  論文  参考訳（メタデータ） (2023-10-17T05:44:10Z)
• BRF: eBPF Runtime Fuzzer [3.895892630722353]
  本稿では,検証器とeBPFサブシステムに必要なセマンティクスと依存関係を満足するファザであるBPF Fuzzer (BRF)を紹介する。 BRFは101%のコードカバレッジを達成した。その結果、BRFは、eBPFに4つの脆弱性(いくつかはランタイム番号に割り当てられている)を見つけることができた。
  論文  参考訳（メタデータ） (2023-05-15T16:42:51Z)
• Does Continual Learning Equally Forget All Parameters? [55.431048995662714]
  連続学習(CL)における分散シフト(タスクやドメインシフトなど)は通常、ニューラルネットワークを壊滅的に忘れてしまう。 ニューラルネットワークのどのモジュールが、CL中のトレーニングダイナミクスを調査することによって忘れやすいかを検討する。 CL中に周期的にトリガされるFPFの1段階ごとのリプレイを完全に取り除き,わずか$k$で置き換える,より効率的でシンプルな手法を提案する。
  論文  参考訳（メタデータ） (2023-04-09T04:36:24Z)
• Make Landscape Flatter in Differentially Private Federated Learning [69.78485792860333]
  本稿では,DPの負の影響を軽減するために勾配摂動を利用するDP-FedSAMという新しいDPFLアルゴリズムを提案する。 具体的には、DP-FedSAMは、局所的な平坦性モデルと、より優れた安定性と重量頑健性を統合し、DPノイズに対する局所的な更新とロバスト性の小さなノルムをもたらす。 提案アルゴリズムは,DPFLの既存のSOTAベースラインと比較して,最先端(SOTA)性能を実現する。
  論文  参考訳（メタデータ） (2023-03-20T16:27:36Z)
• Revisiting Personalized Federated Learning: Robustness Against Backdoor Attacks [53.81129518924231]
  pFLフレームワークにおけるバックドア攻撃の最初の研究を行う。 モデル共有部分を持つpFL法は,バックドア攻撃に対するロバスト性を大幅に向上させることができることを示す。 本稿では,バックドア攻撃に対する防御性能を実証的に向上する軽量防御手法Simple-Tuningを提案する。
  論文  参考訳（メタデータ） (2023-02-03T11:58:14Z)
• Is Vertical Logistic Regression Privacy-Preserving? A Comprehensive Privacy Analysis and Beyond [57.10914865054868]
  垂直ロジスティック回帰(VLR)をミニバッチ降下勾配で訓練した。 我々は、オープンソースのフェデレーション学習フレームワークのクラスにおいて、VLRの包括的で厳密なプライバシー分析を提供する。
  論文  参考訳（メタデータ） (2022-07-19T05:47:30Z)
• A flow-based IDS using Machine Learning in eBPF [3.631024220680066]
  eBPFは、Linuxカーネルに動的にコード片をロードできる新しい技術である。 ebpfを用いた機械学習に基づくフローベースのネットワーク侵入検出システムを開発することが可能であることを示す。
  論文  参考訳（メタデータ） (2021-02-19T15:20:51Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。