本發明公開了一種信息流完整性攻擊的度量方法及其可讀存儲介質；包括建立與目標系統相對應的完整性威脅樹，完整性威脅樹包括根節點、中間節點和葉節點；所述根節點通過連接門連接若干個子節點，子節點為中間節點或葉節點；所述中間節點通過連接門連接若干個子節點，且子節點為中間節點或葉節點；所述連接門包括輸入事件和輸出事件，輸入事件和輸出事件均具有事件狀態和事件權值，其中條件觸發門還包括觸發事件，觸發事件具有觸發狀態、觸發權值和觸發運算。將量化信息流完整性模型與攻擊樹的系統架構相關建模能力結合，增加了對具體系統內部結構的考慮，增加了對關聯性攻擊事件的描述能力。

技術領域

本發明屬于信息安全技術領域；涉及一種信息流完整性攻擊的度量方法及其計算機裝置、可讀存儲介質。

背景技術

計算機系統的安全性要求包括機密性、完整性和有效性等方面。在安全關鍵的嵌入式控制系統中，嵌入式程序、控制指令和系統配置均具有高完整性要求。信息流完整性基于細粒度策略保證與系統架構相關的低完整性信息的流動對高完整性數據(指令、配置)的干擾符合特定的策略規則。基于格的定性信息流安全模型只能通過格定性分析信息間的安全關系，無法衡量交互過程中傳遞的信息量，為此相關學者提出了可量化信息流模型。

Clarkson等人提出了量化信息流完整性模型。該模型以互信息為基礎，提出了量化信息流的污染與抑制，給出了完整性破壞度的計算方法，用于對系統的完整性進行量化分析。但是現有的量化信息流完整性模型僅適用于抽象的系統模型，難以對結構復雜的實際系統特別是組件化系統進行威脅分析。

攻擊樹因其簡潔直觀的描述方式而廣泛應用于解決“攻擊-防御”場景下的系統安全性分析評估。針對系統可能受到的攻擊，攻擊樹能夠進行與具體系統結構相關的安全性建模與分析。與此同時，攻擊樹仍存在一定的局限性，其描述能力有限，缺乏能夠準確表達實際攻擊中存在條件關聯的攻擊事件的門結構。

現有技術提出擴展動態故障樹，提出了延時門，能夠對具有修復機制且對修復有時間約束的系統進行建模。但是被擴展的動態故障樹用于對系統可靠性進行分析，未考慮安全性；并且通過動態貝葉斯網絡求解擴展動態故障樹所描述的系統失效的概率分布，無法度量系統被攻擊的難易程度。

現有技術還提出了通過使用攻擊建模的方式對程序進行保護，加強了攻擊者劫持控制流的難度，最終使得程序控制流更加的安全；使用攻擊建模的方式對程序進行保護，利用攻擊樹對程序面臨的攻擊威脅進行建模。但攻擊樹多用于靜態分析系統威脅，而實際的針對系統的攻擊往往是一系列相互關聯相互影響的攻擊，使用攻擊樹無法準確建模。

發明內容

本發明提供了一種信息流完整性攻擊的度量方法及其計算機裝置、可讀存儲介質；將量化信息流完整性模型與攻擊樹的系統架構相關建模能力結合，增加了對具體系統內部結構的考慮，增加了對關聯性攻擊事件的描述能力。

本發明的技術方案是：一種信息流完整性攻擊的度量方法，建立與目標系統相對應的完整性威脅樹，完整性威脅樹包括根節點、中間節點和葉節點；所述根節點通過連接門連接若干個子節點，所述子節點為中間節點或葉節點；所述中間節點通過連接門連接若干個子節點，所述子節點為中間節點或葉節點；所述連接門為與門、或門或條件觸發門；與門、或門和條件觸發門均包括輸入事件和輸出事件，輸入事件和輸出事件均具有事件狀態和事件權值，其中條件觸發門還包括觸發事件，觸發事件具有觸發狀態、觸發權值和觸發運算；所述根節點或中間節點通過連接門連接若干個子節點中，所述子節點為輸入事件，所述根節點或中間節點為輸出事件；所述輸出事件或輸入事件的事件權值為其對應節點的攻擊代價；所述葉節點的事件權值為該葉節點對應的信道的攻擊代價；所述中間節點或根節點的事件權值為該中間節點或根節點的攻擊代價，根節點或中間節點的事件權值通過其連接子節點的事件權值和連接門計算得到；所述根節點的攻擊代價為對目標系統進行信息流完整性攻擊的難易度。

更進一步的，本發明的特點還在于：