[发明专利]基于SELinux的自学习可信策略构建方法及系统

权利要求书

1.一种基于SELinux的自学习可信策略构建方法，其特征在于，包括：

获取需要添加进策略文件的应用程序；

进入策略学习模式，将SELinux设置为宽容模式；

允许并执行所述应用程序的所有操作，并获取日志文件里记录的拒绝信息；

读取所述拒绝信息，并将所述拒绝信息转化成策略文件；

将所述策略文件加载至内核；

对所述策略文件进行度量，若确定所述策略文件完整，则退出策略学习模式，将所述SELinux设置为强制模式；

在所述对所述策略文件进行度量，若确定所述策略文件完整之后，还包括：

将所述策略文件的度量值作为标准度量值，存入可信基准库中；

在所述将所述SELinux设置为强制模式之后，还包括：

提取出所述拒绝信息中需要添加进所述策略文件里的操作拒绝信息；

将所述操作拒绝信息转化成附加策略文件；

利用所述附加策略文件对所述策略文件进行更新，获取新生成策略文件；

将所述新生成策略文件加载至所述内核，以替换所述策略文件。

2.根据权利要求1所述的基于SELinux的自学习可信策略构建方法，其特征在于，在所述利用所述附加策略文件对所述策略文件进行更新，获取新生成策略文件之后，还包括：

对所述新生成策略文件进行度量，并将获取的新生成度量值存入可信基准库中，替换所述策略文件的度量值。

3.根据权利要求1所述的基于SELinux的自学习可信策略构建方法，其特征在于，在所述提取出所述拒绝信息中需要添加进所述策略文件里的操作拒绝信息之前，还包括：

确定所述SELinux中预存储有所述策略文件，则直接允许所述应用程序执行。

4.一种基于SELinux的自学习可信策略构建系统，其特征在于，包括：

策略学习模块，用于获取需要添加进策略文件的应用程序以及进入策略学习模式，将SELinux设置为宽容模式；

日志读取模块，用于在所述策略学习模块允许并执行所述应用程序的所有操作的过程中，获取日志文件里记录的拒绝信息；

策略读取模块，用于读取所述拒绝信息，并将所述拒绝信息转化成策略文件；

策略更新模块，用于将所述策略文件加载至内核；

策略度量模块，用于对所述策略文件进行度量；

若确定所述策略文件完整，策略学习模块则控制所述SELinux退出策略学习模式，并将所述SELinux设置为强制模式；

同时，将所述策略文件的度量值作为标准度量值，存入可信基准库中；

策略度量模块，还用于在所述将所述SELinux设置为强制模式之后，提取出所述拒绝信息中需要添加进所述策略文件里的操作拒绝信息；

将所述操作拒绝信息转化成附加策略文件；

利用所述附加策略文件对所述策略文件进行更新，获取新生成策略文件；

将所述新生成策略文件加载至所述内核，以替换所述策略文件。

5.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至3任一项所述基于SELinux的自学习可信策略构建方法的步骤。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至3任一项所述基于SELinux的自学习可信策略构建方法的步骤。