[发明专利]一种Kysec安全机制的测试方法及系统

说明书

本发明公开了一种Kysec安全机制的测试方法及系统，根据Kysec安全机制中各个防御子模块的功能特点，对各个防御子模块进行划分，并针对不同防御子模块的不同功能特点为其匹配对应的测试流程，实现Kysec安全机制的测试，弥补现有技术中缺乏针对Kysec安全体系的测试手段的遗憾。并且，模拟的黑客攻击场景包括：安装流氓软件、运行木马程序、访问病毒网站、杀死系统核心进程等，进一步提高测试方法的可靠性，充分验证Kysec安全体系的实用性和安全性。

技术领域

本申请涉及计算机安全测试技术领域，尤其涉及一种Kysec安全机制的测试方法及系统。

背景技术

Linux系统现有使用最广泛的安全机制是SELinux。SELinux(Secure EnhancedLinux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。

在SELinux机制中，通过域来对进程进行控制，通过上下文来对系统资源进行限制。在SELinux中预置了多种策略模式来来定义哪些域可以访问哪些上下文。

对于普通用户来说，SELinux技术还存在有以下缺点：

1、缺少界面化的管理程序，不便于用户方便、可视化操作；

2、SELinux的三个安全模式针对整个安全系统进行设置，而Kysec可以针对网络、应用分别开启不同的防护等级；

3、SELinux的安全模式是强制执行的，例如开启强制模式时，强制执行所有的安全策略。Kysec中，开启安全模式后可以对单独的内核、进程、文件等设置其独有的安全策略，且独有安全策略高于共有安全策略。

病毒、木马等非法或恶意代码是通过篡改或替换系统应用程序而达到对系统攻击进而试图进入系统以获取其非法目的，因此利用操作系统安全机制确保系统应用程序和重要数据的完整性可有效防止这种非法或恶意代码给系统安全带来的可能危害。

Kysec安全体系是麒麟软件自主研发的一款操作系统安全防护机制,该体系在内核统一访问控制框架下，实现了应用安装控制、应用执行控制、应用联网控制、内核模块防卸载保护、进程防杀死保护、内核控制、网络保护、文件只读保护等安全防护策略。

然而，现有技术中并没有针对Kysec安全体系的测试方法和工具。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种Kysec安全机制的测试方法及系统，填补现有技术缺少针对Kysec安全体系的测试手段的空缺。

本发明第一方面提出一种Kysec安全机制的测试方法，包括：

根据功能将Kysec安全机制划分为若干防御子模块；

检测所述防御子模块的安全模式，根据所述防御子模块的功能模拟攻击场景，并根据所述安全模式匹配测试流程。

可选地，所述防御子模块包括安装控制防御子模块、执行控制防御子模块、内核控制防御子模块、网络保护防御子模块、内核模块防卸载防御子模块和进程保护防御子模块。

可选地，若所述防御子模块为安装控制防御子模块、执行控制防御子模块、内核控制防御子模块或网络保护防御子模块，则所述安全模式包括阻止模式、警告模式和关闭模式；若所述防御子模块为内核模块防卸载防御子模块或进程保护防御子模块，则所述安全模式包括开启模式和关闭模式。

可选地，当所述防御子模块为安装控制防御子模块、执行控制防御子模块、内核控制防御子模块或网络保护防御子模块时；

若所述安全模式为阻止模式，则匹配的测试流程为：

执行所述防御子模块的违规操作，若执行失败，则测试通过；否则，测试失败；