論文の概要: SafeBPF: Hardware-assisted Defense-in-depth for eBPF Kernel Extensions

• arxiv url: http://arxiv.org/abs/2409.07508v1
• Date: Wed, 11 Sep 2024 13:58:51 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-13 20:40:16.919322
• Title: SafeBPF: Hardware-assisted Defense-in-depth for eBPF Kernel Extensions
• Title（参考訳）: SafeBPF: eBPFカーネル拡張のためのハードウェア支援型ディフェンスインディース
• Authors: Soo Yee Lim, Tanya Prasad, Xueyuan Han, Thomas Pasquier,
• Abstract要約: SafeBPFは,eBPFプログラムをカーネルの他の部分から分離し,メモリ安全性上の脆弱性の悪用を防止する汎用設計である。 SafeBPFは,所望のセキュリティ特性を達成しつつ,マクロベンチマーク上で最大4%のオーバーヘッドを発生させることを示す。
• 参考スコア（独自算出の注目度）: 1.0499611180329806
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The eBPF framework enables execution of user-provided code in the Linux kernel. In the last few years, a large ecosystem of cloud services has leveraged eBPF to enhance container security, system observability, and network management. Meanwhile, incessant discoveries of memory safety vulnerabilities have left the systems community with no choice but to disallow unprivileged eBPF programs, which unfortunately limits eBPF use to only privileged users. To improve run-time safety of the framework, we introduce SafeBPF, a general design that isolates eBPF programs from the rest of the kernel to prevent memory safety vulnerabilities from being exploited. We present a pure software implementation using a Software-based Fault Isolation (SFI) approach and a hardware-assisted implementation that leverages ARM's Memory Tagging Extension (MTE). We show that SafeBPF incurs up to 4% overhead on macrobenchmarks while achieving desired security properties.
• Abstract（参考訳）: eBPFフレームワークは、Linuxカーネルでユーザが提供するコードの実行を可能にする。 ここ数年、クラウドサービスの大規模なエコシステムがeBPFを活用して、コンテナのセキュリティ、システムオブザーバビリティ、ネットワーク管理を強化してきた。 一方、メモリ安全性の脆弱性に関する緊急の発見は、特権のないeBPFプログラムを許可する以外、システムコミュニティに選択の余地がなく、残念なことにEBPFの使用を特権のあるユーザのみに制限している。 このフレームワークのランタイム安全性を改善するために,他のカーネルからEBPFプログラムを分離する汎用設計であるSafeBPFを導入し,メモリ安全性の脆弱性の悪用を防止する。 我々は、ソフトウェアベースの障害分離(SFI)アプローチと、ARMのメモリタグ拡張(MTE)を利用したハードウェア支援実装を用いた純粋なソフトウェア実装を提案する。 SafeBPFは,所望のセキュリティ特性を達成しつつ,マクロベンチマーク上で最大4%のオーバーヘッドを発生させることを示す。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• ShadowBound: Efficient Heap Memory Protection Through Advanced Metadata Management and Customized Compiler Optimization [24.4696797147503]
  ヒープの破損は システムのセキュリティに深刻な脅威をもたらす ユニークなヒープメモリ保護設計であるShadowBoundを紹介します。 LLVMフレームワーク上にShadowBoundを実装し、最先端の3つの無防備を統合しました。
  論文  参考訳（メタデータ） (2024-06-04T07:02:53Z)
• Towards Comprehensive and Efficient Post Safety Alignment of Large Language Models via Safety Patching [77.36097118561057]
  textscSafePatchingは包括的で効率的なPSAのための新しいフレームワークである。 textscSafePatchingはベースラインメソッドよりも包括的で効率的なPSAを実現する。
  論文  参考訳（メタデータ） (2024-05-22T16:51:07Z)
• VeriFence: Lightweight and Precise Spectre Defenses for Untrusted Linux Kernel Extensions [0.07696728525672149]
  Linuxの拡張バークレーパケットフィルタ(BPF)は、ユーザが提供するバイトコードをジャストインタイムでコンパイルすることで、ユーザ/カーネルの遷移を避ける。 2018年に公表されたSpectreの脆弱性を緩和するためには、潜在的に危険なプログラムを拒否する防衛措置を実施せざるを得なかった。 We propose VeriFence, an enhancement to the kernel's Spectre Defenses that reduce the number of BPF application program from 54% to zero。
  論文  参考訳（メタデータ） (2024-04-30T12:34:23Z)
• Approximate Model-Based Shielding for Safe Reinforcement Learning [83.55437924143615]
  本稿では,学習したRLポリシーの性能を検証するための,原則的ルックアヘッド遮蔽アルゴリズムを提案する。 我々のアルゴリズムは他の遮蔽手法と異なり、システムの安全性関連力学の事前知識を必要としない。 我々は,国家依存型安全ラベルを持つアタリゲームにおいて,他の安全を意識したアプローチよりも優れた性能を示す。
  論文  参考訳（メタデータ） (2023-07-27T15:19:45Z)
• BRF: eBPF Runtime Fuzzer [3.895892630722353]
  本稿では,検証器とeBPFサブシステムに必要なセマンティクスと依存関係を満足するファザであるBPF Fuzzer (BRF)を紹介する。 BRFは101%のコードカバレッジを達成した。その結果、BRFは、eBPFに4つの脆弱性(いくつかはランタイム番号に割り当てられている)を見つけることができた。
  論文  参考訳（メタデータ） (2023-05-15T16:42:51Z)
• Towards the Flatter Landscape and Better Generalization in Federated Learning under Client-level Differential Privacy [67.33715954653098]
  本稿では,DPの負の影響を軽減するために勾配摂動を利用するDP-FedSAMという新しいDPFLアルゴリズムを提案する。 具体的には、DP-FedSAM は Sharpness Aware of Minimization (SAM) を統合し、安定性と重みのある局所平坦度モデルを生成する。 より優れた性能を保ちながら、さらにマグニチュードランダムノイズを低減するために、ローカル更新スペーシフィケーション手法を用いてDP-FedSAM-$top_k$を提案する。
  論文  参考訳（メタデータ） (2023-05-01T15:19:09Z)
• MOAT: Towards Safe BPF Kernel Extension [10.303142268182116]
  LinuxカーネルはBerkeley Packet Filter (BPF) を広く使用し、ユーザが記述したBPFアプリケーションをカーネル空間で実行できるようにする。 最近の攻撃は、BPFプログラムがセキュリティチェックを回避し、カーネルメモリへの不正アクセスを得る可能性があることを示している。 我々は,Intel Memory Protection Keys (MPK) を用いて,潜在的に悪意のあるBPFプログラムを分離するシステムMOATを提案する。
  論文  参考訳（メタデータ） (2023-01-31T05:31:45Z)
• Building Your Own Trusted Execution Environments Using FPGA [16.206300249987354]
  BYOTee(Build Your Own Trusted Execution Environments)は、複数のセキュアなエンクレーブを構築するための、使いやすいインフラである。 BYOTeeは、FPGAの要求に応じて、ソフトコアCPU、ブロックRAM、周辺接続を含むカスタマイズされたハードウェアTCBでエンクレーブを作成する。
  論文  参考訳（メタデータ） (2022-03-08T17:22:52Z)
• Differentially Private Federated Bayesian Optimization with Distributed Exploration [48.9049546219643]
  我々は、DPを反復アルゴリズムに追加するための一般的なフレームワークを通じて、ディープニューラルネットワークのトレーニングに差分プライバシ(DP)を導入する。 DP-FTS-DEは高い実用性(競争性能)と高いプライバシー保証を実現する。 また,DP-FTS-DEがプライバシとユーティリティのトレードオフを引き起こすことを示すために,実世界の実験も行っている。
  論文  参考訳（メタデータ） (2021-10-27T04:11:06Z)
• Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
  本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。 我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。 ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
  論文  参考訳（メタデータ） (2021-06-03T16:45:40Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。