論文の概要: Securing Operating Systems Through Fine-grained Kernel Access Limitation for IoT Systems
- arxiv url: http://arxiv.org/abs/2510.03737v1
- Date: Sat, 04 Oct 2025 08:42:17 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-07 16:52:59.222635
- Title: Securing Operating Systems Through Fine-grained Kernel Access Limitation for IoT Systems
- Title(参考訳): IoTシステムのための微細カーネルアクセス制限によるオペレーティングシステムのセキュア化
- Authors: Dongyang Zhan, Zhaofeng Yu, Xiangzhan Yu, Hongli Zhang, Lin Ye, Likun Liu,
- Abstract要約: Seccompは、未使用のsyscallへのアクセスをブロックしてカーネルを保護するために広く使用されている。
既存のSeccomp設定アプローチは粗い粒度であり、syscall引数の分析と制限はできない。
本稿では,組み込みアプリケーションのための新しい静的依存型サイスコール解析手法を提案する。
- 参考スコア(独自算出の注目度): 9.530140349882954
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: With the development of Internet of Things (IoT), it is gaining a lot of attention. It is important to secure the embedded systems with low overhead. The Linux Seccomp is widely used by developers to secure the kernels by blocking the access of unused syscalls, which introduces less overhead. However, there are no systematic Seccomp configuration approaches for IoT applications without the help of developers. In addition, the existing Seccomp configuration approaches are coarse-grained, which cannot analyze and limit the syscall arguments. In this paper, a novel static dependent syscall analysis approach for embedded applications is proposed, which can obtain all of the possible dependent syscalls and the corresponding arguments of the target applications. So, a fine-grained kernel access limitation can be performed for the IoT applications. To this end, the mappings between dynamic library APIs and syscalls according with their arguments are built, by analyzing the control flow graphs and the data dependency relationships of the dynamic libraries. To the best of our knowledge, this is the first work to generate the fine-grained Seccomp profile for embedded applications.
- Abstract(参考訳): IoT(Internet of Things)の開発により、多くの注目を集めている。
低オーバーヘッドで組込みシステムを確保することが重要である。
Linux Seccompは、未使用のsyscallへのアクセスをブロックすることでカーネルのセキュリティを確保するために広く使用されている。
しかし、IoTアプリケーションのためのシステマティックなSeccomp設定アプローチは、開発者の助けなしには存在しない。
さらに、既存のSeccomp設定アプローチは粗い粒度であり、syscall引数の分析と制限ができない。
本稿では,組み込みアプリケーションに対する新しい静的依存型サイスコール解析手法を提案する。
したがって、IoTアプリケーションに対して、きめ細かいカーネルアクセス制限を実行することができる。
この目的のために、動的ライブラリの制御フローグラフとデータ依存性の関係を分析することにより、動的ライブラリAPIとそれらの引数に応じたsyscall間のマッピングを構築する。
私たちの知る限りでは、組み込みアプリケーション用のきめ細かいSeccompプロファイルを生成するのはこれが初めてです。
関連論文リスト
- Shrinking the Kernel Attack Surface Through Static and Dynamic Syscall Limitation [9.260981761468491]
Linux Seccompは、プログラム開発者とシステムメンテナがオペレーティングシステムを保護するために広く使われている。
Dockerコンテナはデフォルトでは50のsyscallしかブロックしない。
本稿では,静的解析と動的検証を組み合わせることで,システム依存型サイスコール解析手法であるsysverifyを提案する。
論文 参考訳(メタデータ) (2025-10-04T07:51:08Z) - Cognitive Kernel: An Open-source Agent System towards Generalist Autopilots [54.55088169443828]
我々は,ジェネラリストオートパイロットの目標に向けて,オープンソースのエージェントシステムであるCognitive Kernelを紹介する。
主にユーザーに依存して必要な状態情報を提供する自動操縦システムとは異なり、自動操縦システムは独立してタスクを完了しなければならない。
これを実現するために、自動操縦システムでは、ユーザの意図を理解し、様々な現実世界の情報源から必要な情報を積極的に収集し、賢明な判断をする必要がある。
論文 参考訳(メタデータ) (2024-09-16T13:39:05Z) - KGym: A Platform and Dataset to Benchmark Large Language Models on Linux Kernel Crash Resolution [59.20933707301566]
大規模言語モデル(LLM)は、ますます現実的なソフトウェア工学(SE)タスクにおいて一貫して改善されている。
現実世界のソフトウェアスタックでは、Linuxカーネルのような基本的なシステムソフトウェアの開発にSEの取り組みが費やされています。
このような大規模システムレベルのソフトウェアを開発する際にMLモデルが有用かどうかを評価するため、kGymとkBenchを紹介する。
論文 参考訳(メタデータ) (2024-07-02T21:44:22Z) - Making 'syscall' a Privilege not a Right [4.674007120771649]
nexpoline は Memory Protection Keys (MPK) と Seccomp or Syscall User Dispatch (SUD) を組み合わせたセキュアなsyscallインターセプション機構である。
nexpolineはバイナリ書き換えを安全にインターセプトできるので、ptraceのようなセキュアなインターセプション技術よりも効率がよい。
特に、カーネルの変更なしに動作し、ルート権限を必要とせず、現在のLinuxシステムで実行可能である。
論文 参考訳(メタデータ) (2024-06-11T16:33:56Z) - KernelGPT: Enhanced Kernel Fuzzing via Large Language Models [8.77369393651381]
我々はLarge Language Models (LLM) を通じてsyscall仕様を自動合成する最初のアプローチである KernelGPT を提案する。
以上の結果から, KernelGPTは最新の技術よりも, より新しい, 有効な仕様を作成できることを示す。
論文 参考訳(メタデータ) (2023-12-31T18:47:33Z) - SYSPART: Automated Temporal System Call Filtering for Binaries [4.445982681030902]
最近のアプローチでは、不要な呼び出しをブロックするためにプログラムが必要とするシステムコールを自動的に識別する。
SYSPARTはバイナリのみのサーバプログラム用に設計された自動システムコールフィルタリングシステムである。
論文 参考訳(メタデータ) (2023-09-10T23:57:07Z) - Harnessing Deep Learning and HPC Kernels via High-Level Loop and Tensor Abstractions on CPU Architectures [67.47328776279204]
この研究は、効率的でポータブルなDeep LearningとHigh Performance Computingカーネルを開発するためのフレームワークを導入している。
1)プロセッシングプリミティブ(TPP)を用いた計算コアの表現と,2)高レベルな宣言的手法でTPPのまわりの論理ループの表現の2つのステップでカーネルの開発を分解する。
我々は、スタンドアロンカーネルと、さまざまなCPUプラットフォームにおける最先端実装よりも優れたエンドツーエンドワークロードを使用して、このアプローチの有効性を実証する。
論文 参考訳(メタデータ) (2023-04-25T05:04:44Z) - Performance portability through machine learning guided kernel selection
in SYCL libraries [0.0]
汎用計算ライブラリは、ユーザが提供するすべての入力とパラメータに対応できなければならない。
機械学習の手法は、どちらの問題にも対処できる。
新しいハードウェアや問題のためにプロセスをチューニングしても、開発者の努力や専門知識は必要ない。
論文 参考訳(メタデータ) (2020-08-30T11:44:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。