論文の概要: GenKubeSec: LLM-Based Kubernetes Misconfiguration Detection, Localization, Reasoning, and Remediation
- arxiv url: http://arxiv.org/abs/2405.19954v1
- Date: Thu, 30 May 2024 11:18:52 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-31 14:47:58.253477
- Title: GenKubeSec: LLM-Based Kubernetes Misconfiguration Detection, Localization, Reasoning, and Remediation
- Title(参考訳): GenKubeSec: LLMベースのKubernetes設定ミス検出、ローカライゼーション、推論、修正
- Authors: Ehud Malul, Yair Meidan, Dudu Mimran, Yuval Elovici, Asaf Shabtai,
- Abstract要約: KCFのミスコンフィグレーション検出のためのルールベース(RB)ツールは静的なルールセットに依存しており、本質的に制限されており、新たに発見されたミスコンフィグレーションを検出できない。
我々は,多種多様なKCFの誤設定を検出するとともに,誤設定の正確な位置を特定し,それらについて詳細な推論を行う,包括的かつ適応的なLLMベースの手法であるGenKubeSecを提案する。
- 参考スコア(独自算出の注目度): 24.312198733476063
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: A key challenge associated with Kubernetes configuration files (KCFs) is that they are often highly complex and error-prone, leading to security vulnerabilities and operational setbacks. Rule-based (RB) tools for KCF misconfiguration detection rely on static rule sets, making them inherently limited and unable to detect newly-discovered misconfigurations. RB tools also suffer from misdetection, since mistakes are likely when coding the detection rules. Recent methods for detecting and remediating KCF misconfigurations are limited in terms of their scalability and detection coverage, or due to the fact that they have high expertise requirements and do not offer automated remediation along with misconfiguration detection. Novel approaches that employ LLMs in their pipeline rely on API-based, general-purpose, and mainly commercial models. Thus, they pose security challenges, have inconsistent classification performance, and can be costly. In this paper, we propose GenKubeSec, a comprehensive and adaptive, LLM-based method, which, in addition to detecting a wide variety of KCF misconfigurations, also identifies the exact location of the misconfigurations and provides detailed reasoning about them, along with suggested remediation. When empirically compared with three industry-standard RB tools, GenKubeSec achieved equivalent precision (0.990) and superior recall (0.999). When a random sample of KCFs was examined by a Kubernetes security expert, GenKubeSec's explanations as to misconfiguration localization, reasoning and remediation were 100% correct, informative and useful. To facilitate further advancements in this domain, we share the unique dataset we collected, a unified misconfiguration index we developed for label standardization, our experimentation code, and GenKubeSec itself as an open-source tool.
- Abstract(参考訳): Kubernetes設定ファイル(KCF)に関連する重要な課題は、しばしば非常に複雑でエラーが発生し、セキュリティ上の脆弱性と運用上の問題が発生することだ。
KCFのミスコンフィグレーション検出のためのルールベース(RB)ツールは静的なルールセットに依存しており、本質的に制限されており、新たに発見されたミスコンフィグレーションを検出できない。
RBツールは、検出ルールをコーディングする際のミスの可能性があり、誤検出にも悩まされる。
KCFのミスコンフィグレーションを検知およびリメディエートする方法は,スケーラビリティや検出範囲の面で制限されているか,あるいは高度な専門的要件があり,誤コンフィグレーション検出とともに自動修復を提供していないためである。
LLMをパイプラインに採用する新しいアプローチは、APIベース、汎用、主に商用モデルに依存している。
したがって、それらはセキュリティ上の課題を提起し、一貫性のない分類性能を持ち、コストがかかる可能性がある。
本稿では,多種多様なKCFの誤設定を検出するとともに,誤設定の正確な位置を特定し,それらに関する詳細な推論と修正を提案する,包括的かつ適応的なLLMベースの手法であるGenKubeSecを提案する。
3つの業界標準のRBツールと経験的に比較すると、GenKubeSecは同等の精度(0.990)と優れたリコール(0.999)を達成した。
KCFのランダムなサンプルがKubernetesのセキュリティ専門家によって調査されたとき、GenKubeSecは、設定ミスのローカライゼーション、推論、修正が100%正確で、情報的、有用であると説明した。
この領域のさらなる進歩を促進するため、収集したユニークなデータセット、ラベル標準化のために開発した統一された設定ミスインデックス、実験コード、GenKubeSec自体をオープンソースツールとして公開しています。
関連論文リスト
- TOPLOC: A Locality Sensitive Hashing Scheme for Trustless Verifiable Inference [0.0]
大規模言語モデル(LLM)は非常に有能であることが証明されているが、現在の最高のモデルへのアクセスは、信頼の難しさをもたらす推論プロバイダに依存している。
本研究では,この問題に対処する検証可能な新しい手法であるTOPLOCを提案する。
論文 参考訳(メタデータ) (2025-01-27T12:46:45Z) - Standardizing Structural Causal Models [80.21199731817698]
ベンチマークアルゴリズムのための内部標準構造因果モデル(iSCM)を提案する。
構成上、iSCMは$operatornameVar$-sortableではなく、実験的に示すように、$operatornameR2$-sortableではない。
論文 参考訳(メタデータ) (2024-06-17T14:52:21Z) - Adaptive Hierarchical Certification for Segmentation using Randomized Smoothing [87.48628403354351]
機械学習の認証は、特定の条件下では、敵対的なサンプルが特定の範囲内でモデルを回避できないことを証明している。
セグメンテーションの一般的な認証方法は、平らな粒度のクラスを使い、モデルの不確実性による高い断続率をもたらす。
本稿では,複数レベルの階層内で画素を認証し,不安定なコンポーネントに対して粗いレベルに適応的に認証を緩和する,新しい,より実用的な設定を提案する。
論文 参考訳(メタデータ) (2024-02-13T11:59:43Z) - Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain
With Auto-generated Static Analysis Rules [1.9591497166224197]
本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。
具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。
我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
論文 参考訳(メタデータ) (2024-01-23T02:23:11Z) - Cal-DETR: Calibrated Detection Transformer [67.75361289429013]
本稿では,Deformable-DETR,UP-DETR,DINOのキャリブレーション検出トランス(Cal-DETR)のメカニズムを提案する。
我々は、不確実性を利用してクラスロジットを変調する不確実性誘導ロジット変調機構を開発する。
その結果、Cal-DETRは、ドメイン内およびドメイン外の両方を校正する競合する列車時間法に対して有効であることがわかった。
論文 参考訳(メタデータ) (2023-11-06T22:13:10Z) - PEOPL: Characterizing Privately Encoded Open Datasets with Public Labels [59.66777287810985]
プライバシとユーティリティのための情報理論スコアを導入し、不誠実なユーザの平均パフォーマンスを定量化する。
次に、ランダムなディープニューラルネットワークの使用を動機付ける符号化スキームのファミリーを構築する際のプリミティブを理論的に特徴づける。
論文 参考訳(メタデータ) (2023-03-31T18:03:53Z) - Bridging Precision and Confidence: A Train-Time Loss for Calibrating
Object Detection [58.789823426981044]
本稿では,境界ボックスのクラス信頼度を予測精度に合わせることを目的とした,新たな補助損失定式化を提案する。
その結果,列車の走行時間損失はキャリブレーション基準を超過し,キャリブレーション誤差を低減させることがわかった。
論文 参考訳(メタデータ) (2023-03-25T08:56:21Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z) - Uncertainty for Identifying Open-Set Errors in Visual Object Detection [31.533136658421892]
GMM-Detは、オブジェクト検出器から不確実性を抽出し、オープンセットエラーを識別および拒否するリアルタイムの方法である。
GMM-Detは、オープンセット検出を識別および拒否するための既存の不確実性技術に一貫して勝ることを示す。
論文 参考訳(メタデータ) (2021-04-03T07:12:31Z) - End-to-End Object Detection with Transformers [88.06357745922716]
本稿では,オブジェクト検出を直接セット予測問題とみなす新しい手法を提案する。
我々のアプローチは検出パイプラインを合理化し、手作業で設計された多くのコンポーネントの必要性を効果的に除去する。
この新しいフレームワークの主な構成要素は、Detection TRansformerまたはDETRと呼ばれ、セットベースのグローバルな損失である。
論文 参考訳(メタデータ) (2020-05-26T17:06:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。