(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211212280.3 (22)申请日 2022.09.30 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘超　胡亚运　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 唐正瑜 (51)Int.Cl. G06F 21/60(2013.01) (54)发明名称 SELinux策略构建方法、 装置、 电子设备和可 读存储介质 (57)摘要 本申请提供了一种SELinux策略构建方法、 装置、 电子设备和可读 存储介质， 其中， 该方法包 括： 根据待监控 软件的可执行文件的路径生成初 始策略； 基于该初始策略， 对该待监控软件进行 测试， 以获取测试过程中产生的安全日志； 将该 安全日志发送给服务端， 以供该服务端根据该安 全日志生 成更新策略； 接收该服务端发送的该更 新策略， 并使用该更新策略对当前策略进行更 新， 其中， 首次对策略进行更新时， 该当前策略为 该初始策略。 权利要求书3页 说明书13页 附图3页 CN 115481421 A 2022.12.16 CN 115481421 A 1.一种SEL inux策略构建方法， 其特 征在于， 包括： 根据待监控软件的可 执行文件的路径生成初始策略； 基于所述初始策略， 对所述待监控软件进行测试， 以获取测试 过程中产生的安全日志； 将所述安全日志发送给服 务端， 以供 所述服务端根据所述 安全日志生成更新策略； 接收所述服务端发送的所述更新策略， 并使用所述更新策略对当前策略进行更新， 其 中， 首次对策略进行 更新时， 所述当前 策略为所述初始策略。 2.根据权利要求1所述的方法， 其特征在于， 所述根据待监控软件的可执行文件的路径 生成初始策略， 包括： 根据待监控软件的可 执行文件的路径生成主体初始策略； 根据所述待监控软件的可 执行文件所需监控的目标文件的路径， 生成客体初始策略。 3.根据权利要求2所述的方法， 其特 征在于， 所述主体初始策略包括主体安全标签； 所述根据待监控软件的可 执行文件的路径生成主体初始策略， 包括： 根据待监控软件的可 执行文件的路径确定出主体进程名； 根据所述主体进程名， 确定出 所述主体初始策略中的主体安全标签。 4.根据权利要求2所述的方法， 其特 征在于， 所述 客体初始策略包括 客体安全标签； 所述根据 所述待监控软件的可执行文件所需监控的目标文件的路径， 生成客体初始策 略， 包括： 根据所述待监控软件的可执行文件所需监控的目标文件的路径， 确定出文件名和一级 或多级目录； 根据所述文件名和一级或多 级所述目录， 确定出客体安全标签。 5.根据权利要求2所述的方法， 其特 征在于， 所述 客体初始策略包括 客体安全标签； 所述根据 所述待监控软件的可执行文件所需监控的目标文件的路径， 生成客体初始策 略， 包括： 若所述待监控软件的可执行文件所需监控的目标文件的路径中的目录数量大于N1， 确 定出N级的目录， 其中， N1为大于1的正整数； 根据所述 N级的目录， 以及所述 N级的目录中的子目录的文件名， 确定出客体安全标签。 6.权利要求2所述的方法， 其特 征在于， 所述 客体初始策略包括 客体安全标签； 所述根据 所述待监控软件的可执行文件所需监控的目标文件的路径， 生成客体初始策 略， 包括： 若所述待监控软件的可执行文件所需监控的目标文件的路径中的文件总数大于N2， 确 定出N3个的目标文件， 其中， N2为大于1的正整数， N3为小于或等于N2的正整数； 根据N3个的目标文件的路径， 确定出N3个的目标文件 对应的客体安全标签。 7.根据权利要求1所述的方法， 其特征在于， 所述主体初始策略中包括模式字段和风险 标志位， 所述模式字段用于标记主体初始策略对应的主体的当前运行模式； 所述风险标志 位用于标记主体初始策略对应的主体的行为处 理方式； 所述方法还包括： 针对任意一条目标主体初始策略， 根据所述模式字段和所述风险标 志位的实际值， 对所述目标主体初始策略对应的主体行为进行处 理。 8.根据权利要求7所述的方法， 其特征在于， 所述运行模式包括： 学习模式、 混合模式和 强制模式， 所述 风险标志位的取值包括第一 值和第二 值；权　利　要　求　书 1/3 页 2 CN 115481421 A 2所述根据 所述模式字段和所述风险标志位的实际值， 对所述目标主体初始策略对应的 目标主体行为进行处 理， 包括： 若所述目标主体初始策略中的模式字段的实际值表征目标主体处于学习 模式， 对所述 目标主体初始策略对应的目标主体的非法行为 放行， 并记录安全日志； 若所述目标主体初始策略中的模式字段的实际值表征目标主体处于强制模式， 对所述 目标主体初始策略对应的目标主体的非法行为进行拦截， 并记录安全日志； 若所述目标主体初始策略中的模式字段的实际值表征目标主体处于混合模式， 且所述 风险标志位的实际值为第一值， 对所述目标主体初始策略对应的目标主体的非法行为进 行 拦截， 并记录安全日志； 若所述目标主体初始策略中的模式字段的实际值表征目标主体处于混合模式， 且所述 风险标志位的实际值为第二值， 对所述目标主体初始策略对应的目标主体的非法行为放 行， 并记录安全日志。 9.一种SEL inux策略构建方法， 其特 征在于， 包括： 接收客户端发送 的安全日志， 其中， 所述安全日志为所述客户端基于初始策略对待监 控软件进行测试产生的安全日志； 根据所述安全日志生成更新策略， 并将所述更新策略发送给所述客户端， 以供所述客 户端使用所述更新策略对当前 策略进行 更新。 10.根据权利要求9所述的方法， 其特征在于， 所述安全日志中携带主体安全标签和客 体安全标签； 所述根据所述 安全日志生成更新策略， 包括： 根据所述主体安全标签和所述客体安全标签， 生成更新策略， 其中， 所述更新策略包括 主体信息、 客体信息以及主体对客体的动作。 11.一种SEL inux策略构建装置， 其特 征在于， 包括： 第一生成模块， 用于根据待监控软件的可 执行文件的路径生成初始策略； 测试模块， 用于基于所述初始策略， 对所述待监控软件进行测试， 以获取测试过程中产 生的安全日志； 第一发送模块， 用于将所述安全日志发送给服务端， 以供所述服务端根据所述安全日 志生成更新策略； 第一接收模块， 用于接收所述服务端发送的所述更新策略， 并使用所述更新策略对当 前策略进行 更新， 其中， 首次对策略进行 更新时， 所述当前 策略为所述初始策略。 12.一种SEL inux策略构建装置， 其特 征在于， 包括： 第二接收模块， 用于接收客户端发送的安全日志， 其中， 所述安全日志为所述客户端基 于初始策略对待监控软件进行测试产生的安全日志； 第二生成模块， 用于根据所述安全日志生成更新策略， 并将所述更新策略发送给所述 客户端， 以供 所述客户端使用所述更新策略对当前 策略进行 更新。 13.一种电子设备， 其特征在于， 包括： 处理器、 存储器， 所述存储器存储有所述处理器 可执行的机器可读指令， 当电子设备运行时， 所述机器可读指令被所述处理器执行时执行 如权利要求1至10任意 一项所述的方法的步骤。 14.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程权　利　要　求　书 2/3 页 3 CN 115481421 A 3