論文の概要: KubeGuard: LLM-Assisted Kubernetes Hardening via Configuration Files and Runtime Logs Analysis

• arxiv url: http://arxiv.org/abs/2509.04191v1
• Date: Thu, 04 Sep 2025 13:13:57 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-05 20:21:10.167447
• Title: KubeGuard: LLM-Assisted Kubernetes Hardening via Configuration Files and Runtime Logs Analysis
• Title（参考訳）: KubeGuard: 構成ファイルと実行時ログ分析によるLLM支援Kubernetesハードニング
• Authors: Omri Sgan Cohen, Ehud Malul, Yair Meidan, Dudu Mimran, Yuval Elovici, Asaf Shabtai,
• Abstract要約: KubeGuardは、クラスタセキュリティのための新しいランタイムログ駆動推奨フレームワークである。 リソース生成とリソースリファインメントという2つの補完的なタスクを通じて、K8s環境を強化するように設計されている。 我々の評価は、KubeGuardがロール、ネットワークポリシー、デプロイメントのK8マニフェストを効果的に生成し、洗練していることを示している。
• 参考スコア（独自算出の注目度）: 21.638320707123444
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The widespread adoption of Kubernetes (K8s) for orchestrating cloud-native applications has introduced significant security challenges, such as misconfigured resources and overly permissive configurations. Failing to address these issues can result in unauthorized access, privilege escalation, and lateral movement within clusters. Most existing K8s security solutions focus on detecting misconfigurations, typically through static analysis or anomaly detection. In contrast, this paper presents KubeGuard, a novel runtime log-driven recommender framework aimed at mitigating risks by addressing overly permissive configurations. KubeGuard is designed to harden K8s environments through two complementary tasks: Resource Creation and Resource Refinement. It leverages large language models (LLMs) to analyze manifests and runtime logs reflecting actual system behavior, using modular prompt-chaining workflows. This approach enables KubeGuard to create least-privilege configurations for new resources and refine existing manifests to reduce the attack surface. KubeGuard's output manifests are presented as recommendations that users (e.g., developers and operators) can review and adopt to enhance cluster security. Our evaluation demonstrates that KubeGuard effectively generates and refines K8s manifests for Roles, NetworkPolicies, and Deployments, leveraging both proprietary and open-source LLMs. The high precision, recall, and F1-scores affirm KubeGuard's practicality as a framework that translates runtime observability into actionable, least-privilege configuration guidance.
• Abstract（参考訳）: クラウドネイティブなアプリケーションのオーケストレーションにKubernetes(K8s)が広く採用されていることで、設定ミスや過度に許容される設定など、重大なセキュリティ上の問題が発生している。 これらの問題に対処できないと、許可されていないアクセス、特権のエスカレーション、クラスタ内の横移動が発生する可能性がある。 既存のK8sセキュリティソリューションのほとんどは、通常、静的解析や異常検出を通じて、誤った設定を検出することに重点を置いている。 これとは対照的に、KubeGuardは、過度に許容される構成に対処することでリスクを軽減することを目的とした、新しいランタイムログ駆動レコメンデーションフレームワークである。 KubeGuardは、リソース生成とリソースリファインメントという2つの補完的なタスクを通じて、K8s環境を強化するように設計されている。 大規模な言語モデル(LLM)を活用して、モジュール型のプロンプトチェーンワークフローを使用して、実際のシステムの振る舞いを反映したマニフェストとランタイムログを分析する。 このアプローチによりKubeGuardは、新たなリソースのための最小限のプライマリ設定を作成し、既存のマニフェストを洗練して、攻撃面を削減できる。 KubeGuardのアウトプットマニフェストは、ユーザ(開発者やオペレータなど)がクラスタセキュリティをレビューし、採用できるように推奨されている。 我々の評価は、KubeGuardがRoles、NetworkPolicies、DeploymentsのK8sマニフェストを効果的に生成し、洗練し、プロプライエタリかつオープンソースのLLMの両方を活用していることを示している。 KubeGuardの実用性は、ランタイムオブザーバビリティを実行可能な最小限の設定ガイダンスに変換するフレームワークとして、高い精度、リコール、F1スコアが確認されている。

関連論文リスト

• Exploiting Inaccurate Branch History in Side-Channel Attacks [54.218160467764086]
  本稿では,リソース共有と競合が広く実装されているが文書化されていない2つの特徴,バイアスフリー分岐予測と分岐履歴推定にどのように影響するかを検討する。 これらの機能は、ブランチ履歴バッファ(BHB)の更新動作を不注意に修正し、悪意のある誤定義を引き起こす新しいプリミティブを作成することができる。 2つのSpectre攻撃、すなわちSpectre-BSEとSpectre-BHSと、BiasScopeと呼ばれるクロスプライマリ制御フローサイドチャネル攻撃である。
  論文  参考訳（メタデータ） (2025-06-08T19:46:43Z)
• CoP: Agentic Red-teaming for Large Language Models using Composition of Principles [61.404771120828244]
  本稿では,Large Language Models (LLM) のリピートプロセスを自動化するエージェントワークフローを提案する。 ヒューマンユーザは、AIエージェントへの指示として、効果的な赤チーム戦略を自動オーケストレーションし、ジェイルブレイクプロンプトを生成する、一連の赤チームの原則を提供する。 先進的なLLMに対して試験すると、CoPは新しいジェイルブレイクプロンプトを見つけ、最もよく知られているシングルターン攻撃の成功率を19.0倍に改善することで、前例のない安全リスクを明らかにしている。
  論文  参考訳（メタデータ） (2025-06-01T02:18:41Z)
• CoTGuard: Using Chain-of-Thought Triggering for Copyright Protection in Multi-Agent LLM Systems [55.57181090183713]
  我々は、Chain-of-Thought推論内でトリガーベースの検出を活用する著作権保護のための新しいフレームワークであるCoTGuardを紹介する。 具体的には、特定のCoTセグメントをアクティベートし、特定のトリガクエリをエージェントプロンプトに埋め込むことで、未許可コンテンツ再生の中間的推論ステップを監視する。 このアプローチは、協調エージェントシナリオにおける著作権侵害の微細かつ解釈可能な検出を可能にする。
  論文  参考訳（メタデータ） (2025-05-26T01:42:37Z)
• KubeFence: Security Hardening of the Kubernetes Attack Surface [3.67004863266419]
  K8sは、金融、ヘルスケア、政府などの分野における重要なサービスを含む、コンテナ化されたアプリケーションのオーケストレーションに広く使用されている。 広範かつ機能豊富なAPIインターフェースは、幅広い攻撃面を公開し、K8がソフトウェアの脆弱性や設定ミスの悪用に対して脆弱になる。 本稿では,特定のクライアントワークロードに適した細粒度APIフィルタリングを実装した新しいソリューションであるKubeFenceを提案する。
  論文  参考訳（メタデータ） (2025-04-15T12:15:34Z)
• STShield: Single-Token Sentinel for Real-Time Jailbreak Detection in Large Language Models [31.35788474507371]
  大規模言語モデル(LLM)は、ジェイルブレイク攻撃に対してますます脆弱になっている。 本稿では,リアルタイムジェイルブレイク判定のための軽量フレームワークSTShieldを紹介する。
  論文  参考訳（メタデータ） (2025-03-23T04:23:07Z)
• Comparative Analysis of Lightweight Kubernetes Distributions for Edge Computing: Security, Resilience and Maintainability [0.0]
  本研究は,k3s,k0s,KubeEdge,OpenYurtの軽量分布を比較し,解析する。 結果は、k3sとk0sは単純さのために開発が容易だが、KubeEdgeやOpenYurtに比べてセキュリティコンプライアンスが低いことを示している。 パフォーマンス、セキュリティ、レジリエンス、保守性の間のトレードオフを強調し、エッジ環境にデプロイする実践者のための洞察を提供する。
  論文  参考訳（メタデータ） (2025-03-04T20:05:40Z)
• LLMSecConfig: An LLM-Based Approach for Fixing Software Container Misconfigurations [0.716879432974126]
  コンテナオーケストレーションにおけるセキュリティの誤設定は、ソフトウェアシステムに深刻な脅威をもたらす。 現在、業界はこれらの設定を修正できる自動化ソリューションを欠いている。 本研究では,SAT と LLM を組み合わせることで,このギャップを埋める革新的なフレームワーク LLMSecConfig を紹介する。
  論文  参考訳（メタデータ） (2025-02-04T04:56:34Z)
• LeakAgent: RL-based Red-teaming Agent for LLM Privacy Leakage [78.33839735526769]
  LeakAgentは、プライバシー漏洩のための新しいブラックボックスレッドチームフレームワークである。 我々のフレームワークは、敵のプロンプトを生成するための攻撃エージェントとして強化学習を通じてオープンソースのLLMを訓練する。 我々は,LeakAgentが既存のルールベースのデータ抽出手法と,システムリーク時の自動手法を著しく上回っていることを示す。
  論文  参考訳（メタデータ） (2024-12-07T20:09:01Z)
• Centralized Defense: Logging and Mitigation of Kubernetes Misconfigurations with Open Source Tools [9.377368885342241]
  本稿では,環境のミスコンフィグレーションの詳細な分析と,システムの信頼性とセキュリティへの影響について述べる。 このような設定ミスを検出し、クラスタとの統合プロセスとロールベースのアクセス制御の実装を詳述するために、集中型ロギングソリューションが開発された。 ソリューションの有効性は、個々のオープンソースツールに対して集中ロギングソリューションを実行するための合計サイクルタイムなど、特定のメトリクスを使用して評価された。
  論文  参考訳（メタデータ） (2024-08-07T12:02:13Z)
• Jailbreaking as a Reward Misspecification Problem [80.52431374743998]
  本稿では,この脆弱性をアライメントプロセス中に不特定性に対処する新たな視点を提案する。 本稿では,報酬の相違の程度を定量化し,その有効性を実証する指標ReGapを紹介する。 ReMissは、報酬ミスの空間で敵のプロンプトを生成する自動レッドチームリングシステムである。
  論文  参考訳（メタデータ） (2024-06-20T15:12:27Z)
• Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
  我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。 我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。 ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
  論文  参考訳（メタデータ） (2023-12-21T01:08:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。