論文の概要: Exploiting Kubernetes' Image Pull Implementation to Deny Node Availability
- arxiv url: http://arxiv.org/abs/2401.10582v1
- Date: Fri, 19 Jan 2024 09:49:53 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 08:36:55.370128
- Title: Exploiting Kubernetes' Image Pull Implementation to Deny Node Availability
- Title(参考訳): Kubernetesのイメージプル実装をデニーノードにデプロイする
- Authors: Luis Augusto Dias Knob, Matteo Franzil, Domenico Siracusa,
- Abstract要約: アプリケーションプログラミングインタフェース(API)とK8のランタイムインターフェース間のインタラクションは、十分に研究されていない。
CRI-APIはコンテナランタイムを抽象化し、各イメージのダウンロードとともにコンテナの生成とライフサイクルを管理する。
このような攻撃は、最大95%の平均CPU使用量を生成し、新しいコンテナイメージのダウンロードを防止し、潜在的に無制限な時間でI/Oおよびネットワーク使用量を増やすことができることを示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Kubernetes (K8s) has grown in popularity over the past few years to become the de-facto standard for container orchestration in cloud-native environments. While research is not new to topics such as containerization and access control security, the Application Programming Interface (API) interactions between K8s and its runtime interfaces have not been studied thoroughly. In particular, the CRI-API is responsible for abstracting the container runtime, managing the creation and lifecycle of containers along with the downloads of the respective images. However, this decoupling of concerns and the abstraction of the container runtime renders K8s unaware of the status of the downloading process of the container images, obstructing the monitoring of the resources allocated to such process. In this paper, we discuss how this lack of status information can be exploited as a Denial of Service attack in a K8s cluster. We show that such attacks can generate up to 95% average CPU usage, prevent downloading new container images, and increase I/O and network usage for a potentially unlimited amount of time. Finally, we propose two possible mitigation strategies: one, implemented as a stopgap solution, and another, requiring more radical architectural changes in the relationship between K8s and the CRI-API.
- Abstract(参考訳): Kubernetes(K8s)はここ数年で人気を博し、クラウドネイティブ環境におけるコンテナオーケストレーションのデファクトスタンダードになっています。
コンテナ化やアクセス制御セキュリティといったトピックに対する研究は珍しくないが、K8とランタイムインターフェース間のアプリケーションプログラミングインターフェース(API)のインタラクションは、徹底的に研究されていない。
特に、CRI-APIはコンテナランタイムを抽象化し、コンテナの生成とライフサイクルを管理し、各イメージのダウンロードを管理する。
しかし、この懸念の分離とコンテナランタイムの抽象化は、コンテナイメージのダウンロードプロセスの状態を意識せず、そのようなプロセスに割り当てられたリソースの監視を妨げる。
本稿では、K8sクラスタにおけるDenial of Service攻撃として、このステータス情報の欠如をいかに活用できるかを論じる。
このような攻撃は、最大95%の平均CPU使用量を生成し、新しいコンテナイメージのダウンロードを防止し、潜在的に無制限な時間でI/Oおよびネットワーク使用量を増やすことができることを示す。
最後に,K8sとCRI-APIの関係において,より急進的なアーキテクチャ変更を必要とするストップギャップソリューションとして実装された2つの緩和戦略を提案する。
関連論文リスト
- NAC-TCN: Temporal Convolutional Networks with Causal Dilated
Neighborhood Attention for Emotion Understanding [60.74434735079253]
畳み込みTCN(NAC-TCN)を用いた近傍注意法を提案する。
これを実現するために、Dilated Neighborhood Attentionの因果バージョンを導入し、畳み込みを組み込んだ。
我々のモデルは、標準的な感情認識データセットに少ないパラメータを必要としながら、TCN、TCL、LSTM、GRUに匹敵する、より優れた、あるいは最先端のパフォーマンスを実現する。
論文 参考訳(メタデータ) (2023-12-12T18:41:30Z) - Image Compression using only Attention based Neural Networks [13.126014437648612]
クロスアテンションによりパッチ情報を集約する学習画像クエリの概念を導入し,次いで量子化と符号化手法を提案する。
我々の研究は、人気のあるKodak、DIV2K、CLICデータセット間の畳み込みのないアーキテクチャによって達成された競合性能を示しています。
論文 参考訳(メタデータ) (2023-10-17T13:38:38Z) - Joint Modeling of Feature, Correspondence, and a Compressed Memory for
Video Object Segmentation [52.11279360934703]
現在のビデオオブジェクト(VOS)メソッドは通常、特徴抽出後のカレントフレームと参照フレームの密マッチングを実行する。
本稿では,特徴量,対応性,圧縮メモリの3要素を共同モデリングするための統合VOSフレームワークであるJointFormerを提案する。
論文 参考訳(メタデータ) (2023-08-25T17:30:08Z) - FrankenSplit: Efficient Neural Feature Compression with Shallow Variational Bottleneck Injection for Mobile Edge Computing [5.815300670677979]
資源依存型圧縮モデルのための新しいフレームワークを導入し,非対称環境下での手法を広範囲に評価する。
提案手法は精度を低下させることなく最先端のSC法よりも60%低く,既存の標準のオフロードよりも16倍高速である。
論文 参考訳(メタデータ) (2023-02-21T14:03:22Z) - Look Before You Match: Instance Understanding Matters in Video Object
Segmentation [114.57723592870097]
本稿では,ビデオオブジェクトセグメンテーション(VOS)におけるインスタンスの重要性について論じる。
本稿では,クエリベースのインスタンスセグメンテーション(IS)ブランチを現在のフレームのインスタンス詳細に分割し,VOSブランチをメモリバンクと時空間マッチングする,VOS用の2分岐ネットワークを提案する。
我々は、ISブランチから十分に学習されたオブジェクトクエリを使用して、インスタンス固有の情報をクエリキーに注入し、インスタンス拡張マッチングをさらに実行します。
論文 参考訳(メタデータ) (2022-12-13T18:59:59Z) - CAPD: A Context-Aware, Policy-Driven Framework for Secure and Resilient
IoBT Operations [1.9116784879310031]
インターネット・オブ・バトルフィールド・モノズ(IoBT)は歩兵部隊の運用を推し進める。
本稿では,CAPDを用いた敵行動の検出と緩和について述べる。
論文 参考訳(メタデータ) (2022-08-02T19:27:51Z) - Implementing Reinforcement Learning Datacenter Congestion Control in NVIDIA NICs [64.26714148634228]
渋滞制御 (CC) アルゴリズムの設計は非常に困難になる。
現在、計算能力に制限があるため、ネットワークデバイスにAIモデルをデプロイすることはできない。
我々は,近年の強化学習CCアルゴリズムに基づく計算軽度解を構築した。
論文 参考訳(メタデータ) (2022-07-05T20:42:24Z) - Learning Deep Context-Sensitive Decomposition for Low-Light Image
Enhancement [58.72667941107544]
典型的なフレームワークは、照明と反射を同時に推定することであるが、特徴空間にカプセル化されたシーンレベルの文脈情報を無視する。
本研究では,空間スケールにおけるシーンレベルのコンテキスト依存を生かした,コンテキスト依存型分解ネットワークアーキテクチャを提案する。
チャネル数を減らして軽量なCSDNet(LiteCSDNet)を開発する。
論文 参考訳(メタデータ) (2021-12-09T06:25:30Z) - Attention W-Net: Improved Skip Connections for better Representations [5.027571997864707]
我々は網膜血管分割のための新しいU-NetアーキテクチャであるAttention W-Netを提案する。
我々はAUCとF1スコアの0.8407と0.9833を観測し、LadderNetのバックボーンを大きく改善した。
論文 参考訳(メタデータ) (2021-10-17T12:44:36Z) - Scalable Microservice Forensics and Stability Assessment Using
Variational Autoencoders [6.225019476223629]
コンテナ化されたアプリケーションランタイムの安定性分析に対するディープラーニングベースのアプローチを提示する。
このアプローチは、可変オートエンコーダ(VAE)を使用してコンテナイメージの安定したパターンを学び、コンテナ固有のVAEをインスタンス化し、安定性検出と適応フォレンジックパブリッシングを実装します。
CPUMinerとHTTP-floodの2つの攻撃に対してVAEベースの安定性検出技術を評価し、両方の異常の分離に有効であることが判明した。
論文 参考訳(メタデータ) (2021-04-23T18:51:41Z) - Tailored Learning-Based Scheduling for Kubernetes-Oriented Edge-Cloud
System [54.588242387136376]
エッジクラウドシステムのための学習ベースのスケジューリングフレームワークkaisを紹介する。
まず,分散した要求ディスパッチに対応するために,協調型マルチエージェントアクタ-クリティックアルゴリズムを設計する。
次に,多種多様なシステムスケールと構造について,グラフニューラルネットワークを用いてシステム状態情報を埋め込む。
第3に、リクエストディスパッチとサービスオーケストレーションを調和させる2段階のスケジューリングメカニズムを採用します。
論文 参考訳(メタデータ) (2021-01-17T03:45:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。