多K:用于编排多个专用内核的框架
摘要:Linux-based framework MultiK减少操作系统内核的攻击面,降低代码臃肿。MultiK以透明方式"编排"多个为个别应用程序专门设计的内核。该框架灵活,可适应不同的内核代码减少技术,在几乎没有额外的运行时间开销的情况下运行专门的内核。MultiK避免了虚拟化的开销,并在系统上本地运行。例如,一个Apache实例显示在一个具有(a)93.68%代码减少,(b)消除了23个已知的内核漏洞中的19个漏洞,以及(c)几乎没有性能开销(0.19%)的内核上运行。MultiK是一个可以与现有的代码减少和操作系统安全技术集成的框架。我们通过使用D-KUT和S-KUT这两种方法来对内核代码进行配置和消除来证明这一点。整个过程对用户应用程序来说是透明的,因为MultiK不需要重新编译应用程序。
作者:Hsuan-Chi Kuo, Akshith Gunasekaran, Yeongjin Jang, Sibin Mohan, Rakesh B. Bobba, David Lie and Jesse Walker
论文ID:1903.06889
分类:Operating Systems
分类简称:cs.OS
提交时间:2019-03-19