【技术实现步骤摘要】
SELinux策略构建方法、装置、电子设备和可读存储介质
[0001]本申请涉及计算机安全领域,具体而言,涉及一种SELinux策略构建方法、装置、电子设备和可读存储介质。
技术介绍
[0002]SELinux(Security
‑
Enhanced Linux,安全增强式Linux)是强制访问控制MAC的一种实现方式,SELinux通过策略规则实现对主体行为的控制,目前策略规则的前期开发工作主要依赖SELinux研发人员完成,导致SELinux的策略规则开发、维护难度大的问题。
技术实现思路
[0003]本申请的目的在于提供一种SELinux策略构建方法、装置、电子设备和可读存储介质,以改善SELinux的策略规则开发、维护难度大的问题。
[0004]第一方面,本专利技术提供一种SELinux策略构建方法,包括:根据待监控软件的可执行文件的路径生成初始策略;基于所述初始策略,对所述待监控软件进行测试,以获取测试过程中产生的安全日志;将所述安全日志发送给服务端,以供所述服务端根据所述安...
【技术保护点】
【技术特征摘要】
1.一种SELinux策略构建方法,其特征在于,包括:根据待监控软件的可执行文件的路径生成初始策略;基于所述初始策略,对所述待监控软件进行测试,以获取测试过程中产生的安全日志;将所述安全日志发送给服务端,以供所述服务端根据所述安全日志生成更新策略;接收所述服务端发送的所述更新策略,并使用所述更新策略对当前策略进行更新,其中,首次对策略进行更新时,所述当前策略为所述初始策略。2.根据权利要求1所述的方法,其特征在于,所述根据待监控软件的可执行文件的路径生成初始策略,包括:根据待监控软件的可执行文件的路径生成主体初始策略;根据所述待监控软件的可执行文件所需监控的目标文件的路径,生成客体初始策略。3.根据权利要求2所述的方法,其特征在于,所述主体初始策略包括主体安全标签;所述根据待监控软件的可执行文件的路径生成主体初始策略,包括:根据待监控软件的可执行文件的路径确定出主体进程名;根据所述主体进程名,确定出所述主体初始策略中的主体安全标签。4.根据权利要求2所述的方法,其特征在于,所述客体初始策略包括客体安全标签;所述根据所述待监控软件的可执行文件所需监控的目标文件的路径,生成客体初始策略,包括:根据所述待监控软件的可执行文件所需监控的目标文件的路径,确定出文件名和一级或多级目录;根据所述文件名和一级或多级所述目录,确定出客体安全标签。5.根据权利要求2所述的方法,其特征在于,所述客体初始策略包括客体安全标签;所述根据所述待监控软件的可执行文件所需监控的目标文件的路径,生成客体初始策略,包括:若所述待监控软件的可执行文件所需监控的目标文件的路径中的目录数量大于N1,确定出N级的目录,其中,N1为大于1的正整数;根据所述N级的目录,以及所述N级的目录中的子目录的文件名,确定出客体安全标签。6.权利要求2所述的方法,其特征在于,所述客体初始策略包括客体安全标签;所述根据所述待监控软件的可执行文件所需监控的目标文件的路径,生成客体初始策略,包括:若所述待监控软件的可执行文件所需监控的目标文件的路径中的文件总数大于N2,确定出N3个的目标文件,其中,N2为大于1的正整数,N3为小于或等于N2的正整数;根据N3个的目标文件的路径,确定出N3个的目标文件对应的客体安全标签。7.根据权利要求1所述的方法,其特征在于,所述主体初始策略中包括模式字段和风险标志位,所述模式字段用于标记主体初始策略对应的主体的当前运行模式;所述风险标志位用于标记主体初始策略对应的主体的行为处理方式;所述方法还包括:针对任意一条目标主体初始策略,根据所述模式字段和所述风险标志位的实际值,对所述目标主体初始策略对应的主体行为进行处理。8.根据权利要求7所述的方法,其特征在于,所述运行模式包括:学习模式、混合模式和强制模式,所述风险标志位的取值包括第一值和第二值;
所述根...
【专利技术属性】
技术研发人员:刘超,胡亚运,
申请(专利权)人:北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。