論文の概要: BEACON: Automatic Container Policy Generation using Environment-aware Dynamic Analysis
- arxiv url: http://arxiv.org/abs/2512.00414v1
- Date: Sat, 29 Nov 2025 09:47:02 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-02 19:46:34.23066
- Title: BEACON: Automatic Container Policy Generation using Environment-aware Dynamic Analysis
- Title(参考訳): BEACON:環境を考慮した動的分析によるコンテナポリシーの自動生成
- Authors: Haney Kang, Eduard Marin, Myoungsung You, Diego Perino, Seungwon Shin, Jinwoo Kim,
- Abstract要約: BeaConは、調整可能なコンテナセキュリティポリシを自動生成するための新しいツールである。
動的解析を使用して現実的な環境をシミュレートし、プロファイリングフェーズ中に隠されたままのコンテナ実行パスを明らかにする。
BeaConはセキュリティと機能のバランスをカスタマイズすることで、クラウドプロバイダがテナント可用性を維持しながらセキュリティ対策を実施することができる。
- 参考スコア(独自算出の注目度): 11.153434817260019
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: This paper introduces BeaCon, a novel tool for the automated generation of adjustable container security policies. Unlike prior approaches, BeaCon leverages dynamic analysis to simulate realistic environments, uncovering container execution paths that may remain hidden during the profiling phase. To address the challenge of exploring vast profiling spaces, we employ efficient heuristics to reveal additional system events with minimal effort. In addition, BeaCon incorporates a security and functionality scoring mechanism to prioritize system calls and capabilities based on their impact on the host OS kernel's security and the functionality of containerized applications. By integrating these scores, BeaCon achieves a customized balance between security and functionality, enabling cloud providers to enforce security measures while maintaining tenant availability. We implemented a prototype of BeaCon using eBPF kernel technology and conducted extensive evaluations. Results from the top 15 containers, which revealed significant improvements, demonstrate that BeaCon identifies an average of 16.5% additional syscalls by applying diverse environments. Furthermore, we evaluated its effectiveness in mitigating risks associated with 45 known vulnerabilities (e.g., CVEs), showcasing its potential to significantly enhance container security. Additionally, we performed proof-of-concept demonstrations for two well-known security vulnerabilities, showing that BeaCon successfully reduces attack surface by blocking these exploits.
- Abstract(参考訳): 本稿では,コンテナのセキュリティポリシを自動生成するための新しいツールであるBeaConを紹介する。
従来のアプローチとは異なり、BeaConは動的解析を利用して現実的な環境をシミュレートし、プロファイリングフェーズ中に隠されたままのコンテナ実行パスを明らかにする。
広範囲なプロファイリング空間の探索という課題に対処するために、我々は、最小限の努力で追加のシステムイベントを明らかにするために効率的なヒューリスティックを用いている。
さらにBeaConには、ホストOSカーネルのセキュリティとコンテナ化されたアプリケーションの機能に対する影響に基づいて、システムコールと機能の優先順位付けを行うセキュリティと機能スコアリング機構が組み込まれている。
これらのスコアを統合することで、BeaConはセキュリティと機能のバランスをカスタマイズし、クラウドプロバイダがテナント可用性を維持しながらセキュリティ対策を実施することができる。
我々はeBPFカーネル技術を用いてBeaConのプロトタイプを実装し,広範囲な評価を行った。
大幅な改善を公表したトップ15コンテナの結果から、BeaConはさまざまな環境を適用することで、平均16.5%の追加サイスコールを特定している。
さらに、45の既知の脆弱性(例えばCVE)に関連するリスクを軽減し、コンテナセキュリティを大幅に強化する可能性を示した。
さらに、よく知られた2つのセキュリティ脆弱性に対して概念実証を行い、BeaConがこれらのエクスプロイトをブロックすることで攻撃面の削減に成功したことを示す。
関連論文リスト
- OS-Sentinel: Towards Safety-Enhanced Mobile GUI Agents via Hybrid Validation in Realistic Workflows [77.95511352806261]
VLM(Vision-Language Models)を利用したコンピュータ利用エージェントは、モバイルプラットフォームのようなデジタル環境を操作する上で、人間のような能力を実証している。
我々は,明示的なシステムレベルの違反を検出するための形式検証器と,文脈的リスクとエージェント行動を評価するコンテキスト判断器を組み合わせた,新しいハイブリッド安全検出フレームワークOS-Sentinelを提案する。
論文 参考訳(メタデータ) (2025-10-28T13:22:39Z) - A Call to Action for a Secure-by-Design Generative AI Paradigm [0.0]
大規模言語モデル(LLM)は、インジェクションや他の敵攻撃に対して脆弱である。
本稿では,決定論的かつセキュアな対話を実現するフレームワークであるPromptShieldを紹介する。
その結果,モデルの安全性と性能が向上し,精度,リコール,F1スコアが約94%向上した。
論文 参考訳(メタデータ) (2025-10-01T03:05:07Z) - Learning Vision-Based Neural Network Controllers with Semi-Probabilistic Safety Guarantees [24.650302053973142]
本稿では, 到達可能性解析と条件付き生成逆数ネットワークを統合した, 半確率的検証フレームワークを提案する。
次に, 新たな安全損失関数, 安全対応型データサンプリング戦略, カリキュラム学習を活用した勾配学習手法を提案する。
X-Plane 11航空機の着陸シミュレーション, CARLAシミュレーションによる自律走行車線, F110thレーンの視覚的に豊かなミニチュア環境下での実証実験により, 本手法の有効性が証明された。
論文 参考訳(メタデータ) (2025-02-28T21:16:42Z) - Secured Communication Schemes for UAVs in 5G: CRYSTALS-Kyber and IDS [16.52849506266782]
本稿では,無人航空機(UAV)と地上局の5Gネットワークにおけるセキュアな通信アーキテクチャを提案する。
提案手法は、鍵カプセル化のためにAdvanced Encryption Standard(AES)とElliptic Curve Cryptography(ECC)とCRYSTALS-Kyberを統合する。
アーキテクチャはサーバクライアントモデルに基づいており、UAVはクライアントとして機能し、地上局はサーバとして機能する。
論文 参考訳(メタデータ) (2025-01-31T15:00:27Z) - SafetyAnalyst: Interpretable, Transparent, and Steerable Safety Moderation for AI Behavior [56.10557932893919]
我々は、新しいAI安全モデレーションフレームワークであるSafetyAnalystを紹介する。
AIの振る舞いを考えると、SafetyAnalystはチェーン・オブ・シークレット・推論を使用してその潜在的な結果を分析する。
効果を28個の完全に解釈可能な重みパラメータを使って有害度スコアに集約する。
論文 参考訳(メタデータ) (2024-10-22T03:38:37Z) - Ring-A-Bell! How Reliable are Concept Removal Methods for Diffusion Models? [52.238883592674696]
Ring-A-Bellは、T2I拡散モデルのためのモデルに依存しないレッドチームツールである。
これは、不適切なコンテンツの生成に対応する拡散モデルに対する問題的プロンプトを特定する。
この結果から,安全プロンプトベンチマークの操作により,既存の安全メカニズムを回避できると考えられるプロンプトを変換できることが示唆された。
論文 参考訳(メタデータ) (2023-10-16T02:11:20Z) - Recursively Feasible Probabilistic Safe Online Learning with Control Barrier Functions [60.26921219698514]
CBFをベースとした安全クリティカルコントローラのモデル不確実性を考慮した再構成を提案する。
次に、結果の安全制御器のポイントワイズ実現可能性条件を示す。
これらの条件を利用して、イベントトリガーによるオンラインデータ収集戦略を考案する。
論文 参考訳(メタデータ) (2022-08-23T05:02:09Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。