CN109446805B

CN109446805B - 信息流完整性攻击度量方法及其计算机装置、可读存储介质

Info

Publication number: CN109446805B
Application number: CN201811223161.1A
Authority: CN
Inventors: 孙聪; 吴奇烜; 许昕鹏; 马建峰
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2018-10-19
Filing date: 2018-10-19
Publication date: 2021-10-29
Anticipated expiration: 2038-10-19
Also published as: CN109446805A

Abstract

本发明公开了一种信息流完整性攻击的度量方法及其可读存储介质；包括建立与目标系统相对应的完整性威胁树，完整性威胁树包括根节点、中间节点和叶节点；所述根节点通过连接门连接若干个子节点，子节点为中间节点或叶节点；所述中间节点通过连接门连接若干个子节点，且子节点为中间节点或叶节点；所述连接门包括输入事件和输出事件，输入事件和输出事件均具有事件状态和事件权值，其中条件触发门还包括触发事件，触发事件具有触发状态、触发权值和触发运算。将量化信息流完整性模型与攻击树的系统架构相关建模能力结合，增加了对具体系统内部结构的考虑，增加了对关联性攻击事件的描述能力。

Description

信息流完整性攻击度量方法及其计算机装置、可读存储介质

技术领域

本发明属于信息安全技术领域；涉及一种信息流完整性攻击的度量方法及其计算机装置、可读存储介质。

背景技术

计算机系统的安全性要求包括机密性、完整性和有效性等方面。在安全关键的嵌入式控制系统中，嵌入式程序、控制指令和系统配置均具有高完整性要求。信息流完整性基于细粒度策略保证与系统架构相关的低完整性信息的流动对高完整性数据(指令、配置)的干扰符合特定的策略规则。基于格的定性信息流安全模型只能通过格定性分析信息间的安全关系，无法衡量交互过程中传递的信息量，为此相关学者提出了可量化信息流模型。

Clarkson等人提出了量化信息流完整性模型。该模型以互信息为基础，提出了量化信息流的污染与抑制，给出了完整性破坏度的计算方法，用于对系统的完整性进行量化分析。但是现有的量化信息流完整性模型仅适用于抽象的系统模型，难以对结构复杂的实际系统特别是组件化系统进行威胁分析。

攻击树因其简洁直观的描述方式而广泛应用于解决“攻击-防御”场景下的系统安全性分析评估。针对系统可能受到的攻击，攻击树能够进行与具体系统结构相关的安全性建模与分析。与此同时，攻击树仍存在一定的局限性，其描述能力有限，缺乏能够准确表达实际攻击中存在条件关联的攻击事件的门结构。

现有技术提出扩展动态故障树，提出了延时门，能够对具有修复机制且对修复有时间约束的系统进行建模。但是被扩展的动态故障树用于对系统可靠性进行分析，未考虑安全性；并且通过动态贝叶斯网络求解扩展动态故障树所描述的系统失效的概率分布，无法度量系统被攻击的难易程度。

现有技术还提出了通过使用攻击建模的方式对程序进行保护，加强了攻击者劫持控制流的难度，最终使得程序控制流更加的安全；使用攻击建模的方式对程序进行保护，利用攻击树对程序面临的攻击威胁进行建模。但攻击树多用于静态分析系统威胁，而实际的针对系统的攻击往往是一系列相互关联相互影响的攻击，使用攻击树无法准确建模。

发明内容

本发明提供了一种信息流完整性攻击的度量方法及其计算机装置、可读存储介质；将量化信息流完整性模型与攻击树的系统架构相关建模能力结合，增加了对具体系统内部结构的考虑，增加了对关联性攻击事件的描述能力。

本发明的技术方案是：一种信息流完整性攻击的度量方法，建立与目标系统相对应的完整性威胁树，完整性威胁树包括根节点、中间节点和叶节点；所述根节点通过连接门连接若干个子节点，所述子节点为中间节点或叶节点；所述中间节点通过连接门连接若干个子节点，所述子节点为中间节点或叶节点；所述连接门为与门、或门或条件触发门；与门、或门和条件触发门均包括输入事件和输出事件，输入事件和输出事件均具有事件状态和事件权值，其中条件触发门还包括触发事件，触发事件具有触发状态、触发权值和触发运算；所述根节点或中间节点通过连接门连接若干个子节点中，所述子节点为输入事件，所述根节点或中间节点为输出事件；所述输出事件或输入事件的事件权值为其对应节点的攻击代价；所述叶节点的事件权值为该叶节点对应的信道的攻击代价；所述中间节点或根节点的事件权值为该中间节点或根节点的攻击代价，根节点或中间节点的事件权值通过其连接子节点的事件权值和连接门计算得到；所述根节点的攻击代价为对目标系统进行信息流完整性攻击的难易度。

更进一步的，本发明的特点还在于：

可选的，建立与目标系统相对应的完整性威胁树的具体过程包括以下步骤：步骤S1，确定目标系统为攻击对象，将目标系统作为完整性威胁树的根节点，攻击目标系统的攻击代价为根节点对应的事件权值；步骤S2，根节点的攻击代价由若干个子节点的攻击代价达成，根节点通过连接门连接所述子节点，子节点为中间节点或叶节点；步骤S3，基于上一步骤中得到的中间节点，该中间节点由若干个子节点的攻击代价达成，中间节点通过连接门连接所述子节点，子节点为中间节点或叶节点；步骤S4，重复步骤S3，直至中间节点通过连接门连接的子节点均为叶节点；步骤S5，计算所述叶节点对应的信道的攻击代价，作为所述叶节点的事件权值；步骤S6，根据与中间节点通过连接门连接的若干个子节点计算中间节点的事件权值，作为所述中间节点对应的目标的攻击代价；步骤S7，根据与根节点通过连接门连接的若干个子节点计算根节点的事件权值，作为所述根节点对应的目标系统的攻击代价；得到与目标系统相对应的完整性威胁树。

可选的，叶节点的攻击代价的计算方式为：cost(c)＝I(T_in，T_spec)×n；其中T_in为用户的可信输入的概率分布，T_spec为不存在攻击者时信道的可信输出t_spec的概率分布，I(T_in,T_spec)为信道c的T_in和T_spec间的互信息，n为使CS＝H(T_spec)情况下攻击者需要输入的不可信输入的比特数，CS为信道c的信息抑制流；所述中间节点或根节点的攻击代价的计算方法为： cost(C)＝G_c∈C(cost(c))；其中c为与中间节点或根节点连接的子节点的集合，cost(c)为上述子节点的攻击代价，G为运算函数；当中间节点或根节点与其子节点之间为与门连接时，G为求和运算；当中间节点或根节点与其子节点之间为或门连接时，G为求已发生子节点事件对应代价的最大代价；当中间节点或根节点与其子节点之间为条件触发门连接时，G为触发运算。

可选的，连接门为条件触发门，输出事件的事件状态通过若干个输入事件的事件状态的门运算关系得到，输出事件的事件权值通过若干个输入事件的事件权值及触发事件的触发权值的门运算关系得到。

可选的，门运算为与门运算，条件触发门连接的所有输入事件的事件状态全部为发生状态时，输出事件的事件状态为发生状态。

可选的，触发事件的触发状态为未发生状态，条件触发门连接的所有输入事件的事件权值通过求和运算得到全输出事件的事件权值；所述触发事件的事件状态为发生状态时，采用触发运算与所有输入事件的事件权值之间及触发事件的触发权值的关系计算得到输出事件的事件权值，具体为W_B＝F(W₁,…，W_n，W_T)；其中W_B为输出事件的事件权值，F()为触发运算，W₁,…， W_n为分别输入事件的事件权值，W_T为触发事件的触发权值。

可选的，门运算为或门运算，条件触发门连接的任意一个输入事件的事件状态为发生状态时，则输出事件的事件状态为发生状态。

可选的，触发事件的事件状态为未发生状态，条件触发门连接的输入事件的事件权值通过或运算得到输出事件的事件权值；所述触发事件的事件状态为发生状态时，采用触发运算与事件状态为发生状态的局部事件的事件权值及触发事件的触发权值之间的关系计算得到全局事件的事件权值，具体为W_B＝F(W_n，W_T)；其中W_B为全局事件的事件权值，F()为触发运算， W_n为事件状态为发生状态的一个局部事件的事件权值，W_T为触发事件的触发权值。

本发明的另一技术方案是：一种计算机装置，该计算机装置包括处理器和存储器，所述存储器上存储有可在处理器上运行的计算机程序，所述处理器通过计算机程序执行如上所述的信息流完整性攻击的度量方法。

本发明的另一技术方案是：一种可读存储介质，可读存储介质上存储有计算机程序，所述计算机程序被处理器执行实现如上所述的信息流完整性攻击的度量方法。

与现有技术相比，本发明的有益效果是：本方法将量化信息流完整性模型与攻击树所具备的系统架构相关建模能力相结合，提出了一种复杂组件化系统的信息流完整性威胁分析方法。提出建立基于信息流完整性的完整性威胁树，针对当前攻击树描述能力的不足，提出条件触发门用以描述存在条件关联的攻击事件；最后提出利用完整性威胁树对目标系统的信息流完整性攻击难易度进行建模和分析的方法。

本方法通过对攻击树进行扩展，即引入条件触发门，实现对复杂系统攻击事件的条件关联关系的建模，扩展得到的完整性威胁树能够对系统的信息流完整性进行度量和建模。本方法提出条件触发门用以描述存在条件关联的攻击事件，解决针对复杂组件化的系统攻击建模。

附图说明

图1为本发明一实施例得到的完整性威胁树的结构示意图；

图2为本发明中条件触发门的拓扑图。

图中：LE为叶节点；ME为中间节点；SE为根节点；TE为触发事件。

具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步说明。

本发明提供了一种信息流完整性攻击的度量方法，包括建立与目标系统相对应的完整性威胁树，该完整性威胁树包括根节点、中间节点和叶节点。

根节点通过连接门连接若干个子节点，该子节点为中间节点或叶节点；中间节点通过连接门连接若干个子节点，该子节点为中间节点或叶节点。

其中连接门为与门、或门或条件触发门；且连接门包括输入事件和输出事件，输入事件和输出事件均具有事件状态和事件权值；其中条件触发门还包括触发事件，触发事件具有触发状态、触发权值和触发运算。

其中根节点或中间节点通过连接门连接若干个子节点，在该连接模型中，若干个子节点为输入事件，根节点或中间节点为输出事件。且输入事件和输出事件的事件权值为其对应的节点的攻击代价。

其中，叶节点的事件权值为该叶节点对应的目标信道的攻击代价；所述中间节点或根节点的事件权值为该中间节点或根节点的攻击代价，根节点或中间节点的事件权值通过其连接子节点的事件权值和连接门计算得到。

其中根节点表示针对目标系统实施信息流完整性攻击所要达成的最终目标，中间节点表示达成最终目标所需要达成的子目标，叶节点表示对目标系统的某一个信道实现一次攻击所应达成的目标。

每个中间节点以其子节点的攻击代价为输入，输出一个攻击代价值，所输出的攻击代价值表示实施该中间节点攻击所需要付出的代价。

具体的，定义并计算目标系统各个信道所需要付出的代价。在实际环境中，用户和攻击者均能向信道提供输入并从信道获取输出。攻击者通过提供不可信的输入破坏信道的数据完整性。针对具体信道的信息流完整性攻击，将其定义为由攻击者实施的一系列输入操作，这些操作使得信道中正常的数据交互出现错误，如产生数据丢失等。复杂的信息流完整性攻击，即针对影响目标系统信息流完整性的一组信道，按照一定步骤实施不可信输入的过程。定义信息流抑制，用于描述由于攻击者不可信输入而使得真实输出丢失的信息量。

其中根节点或中间节点与其子节点连接的方式为或门、与门或条件触发门。

当连接门为与门连接时，与门连接若干个输入事件为对应的子节点，与门连接的输出事件为对应的中间节点或根节点；其中当所有输入事件的事件状态为发生状态时，输出事件的事件状态为发生状态，否则若有一个输入事件的事件状态为未发生状态，则输出事件的事件状态为未发生状态。在与门连接模型中，当输出事件的事件状态为发生状态时，输出事件的事件权值为其对应的所有的输入事件的事件权值的和，此时达成对中间节点或根节点对应的攻击；当输出事件的事件状态为未发生状态时，则输出事件的事件权值可被看作为无穷大，此时未达成对中间节点或根节点对应的攻击。

当连接门为或门连接时，或门连接若干个输入事件为对应的子节点，或门连接的输出事件为对应的中间节点或根节点；其中当所有输入事件的事件状态为未发生状态时，输出事件的事件状态为未发生状态，否则若至少一个输入事件的事件状态为发生状态，则输出事件的事件状态为发生状态。在或门连接模型中，当输出事件的事件状态为发生状态时，输出事件的事件权值为其对应的事件状态为发生状态的输入事件中的一个输入事件的事件权值，此时达成对中间节点或根节点对应的攻击；当输出事件的事件状态为未发生状态时，则输出事件的事件权值可被看作为无穷大，此时未达成对中间节点或根节点对应的攻击。

其中当多个输入事件的事件状态为发生状态时，或门连接的输出事件的事件状态为发生状态，多个输入事件中事件权值最大为输出事件的事件权值。

其中，条件触发门如图2所示，包括若干个输入事件A₁…A_n，输出事件B，以及触发事件TE；其中输入事件和输出事件之间通过门运算OP关联，即输出事件的事件状态通过若干个输入事件之间进行门运算得到；F为触发事件的触发运算。其中门运算OP为与门运算或或门运算。

在条件触发门中，若OP运算为与门运算，则其具体计算过程为：触发运算F()的表达式如下：

其中，α为参数，0≤α≤1。当触发事件的事件状态为发生状态时，上式中T＝1，

当触发事件的事件状态为未发生时，上式中T＝0，

W_B为输出事件的事件权值，W_T为触发事件的触发权值，

为若干个输入事件的事件权值之和。

在条件触发门中，若OP运算为或门运算，则其具体计算过程为：触发运算F()的表达式如下：W_B＝T·(α·W_n+W_T)+(-T)·W_n；其中，α为参数，0≤α≤1。当触发事件的事件状态为发生状态时，上式中T＝1，

当触发事件的事件状态为未发生时，上式中T＝0，

W_n为事件状态为发生状态的一个局部事件的事件权值，当有多个局部事件的事件状态为发生状态，则W_n为多个局部事件中事件权值最大的值。

在与门连接、或门连接以及条件触发门连接的模型中，输出事件看做上层节点(中间节点或根节点)，输入事件看做下层节点(叶节点)；当某个下层节点的攻击达成，其攻击代价为对应输入事件的事件权值；当某个中间节点的攻击达成，其攻击代价为对应输出事件的事件权值。输出事件的事件权值取值范围的上界为无穷大∞，表示如果对事件的攻击不成功，则与其对应的攻击代价为无穷大∞。

条件触发门的使用条件为系统某些信道之间存在依赖关系，当其中一个信道遭到攻击时，对其他信道的攻击难度产生一定影响。使用条件触发门的一个典型场景是：在飞控计算机系统中，表决模块需要在表决前后分别读写表决存储器以完成表决，该存储器的完整性被攻击者破坏后，对表决模块的攻击难度相比于直接攻击该表决模块而言大大降低，条件触发门可用于该情况下对此类攻击威胁进行建模分析。

在本发明中，叶节点所对应信道的攻击代价的计算过程是：cost(c)＝I(T_in,T_spec)×n；其中 T_in为用户的可信输入的概率分布，T_spec为不存在攻击者时信道的可信输出t_spec的概率分布， I(T_in,T_spec)为信道c的T_in和T_spec间的互信息，n为使CS＝H(T_spec)情况下攻击者需要输入的不可信输入的比特数，CS为信道c的信息抑制流。

并且该叶节点的上层节点(中间节点)的攻击代价的计算方法为： cost(C)＝G_c∈C(cost(c))；其中c为与中间节点或根节点连接的子节点的集合，cost(c)为上述子节点的攻击代价，G为运算函数；当中间节点或根节点与其子节点之间为与门连接时，G为求和运算；当中间节点或根节点与其子节点之间为或门连接时，G为求已发生子节点事件对应代价的最大代价；当中间节点或根节点与其子节点之间为条件触发门连接时，G为触发运算。该过程参照上述与门连接、或门连接以及条件触发门的计算过程。

中间节点或根节点与其子节点为与门连接，中间节点或根节点的攻击代价为

其中C为与中间节点或根节点连接的子节点的集合，cost(c)为子节点的攻击代价；

中间节点或根节点与其子节点之间为或门连接，中间节点或根节点的攻击代价为已发生子节点事件对应的事件权值中的最大的权值；

中间节点或根节点与其子节点之间为条件触发门连接时，按照本发明上述提供的条件触发门的运算方式计算中间节点或根节点的攻击代价。

本发明中，建立完整性威胁树的具体步骤是：

步骤S1，基于目标系统，确定目标系统被攻击的最终目标，并且将该最终目标作为完整性威胁树的根节点。

步骤S2，根节点的攻击代价由若干个子节点的攻击代价达成，根节点通过连接门连接所述子节点，子节点为中间节点或叶节点。

步骤S3，基于上一步骤中得到的中间节点，该中间节点由若干个子节点的攻击代价达成，中间节点通过连接门连接所述子节点，子节点为中间节点或叶节点。

步骤S4，重复步骤S3，直至中间节点通过连接门连接的子节点均为叶节点

步骤S5，需要根据完整性威胁树所有的叶节点，计算攻击其所表示的信道需要付出的代价，并且将该攻击代价写入与其对应的叶节点的事件权值。

其具体过程是：定义并计算目标系统各个信道所需要付出的代价；针对目标系统的信息流完整性攻击建模为完整性威胁树模型，并分析攻击代价。首先定义信息流抑制如下：已知t_impl为存在攻击者时信道的被污染输出，t_spec为不存在攻击者时信道的可信输出，信息流抑制指用户无法从t_impl获得的关于t_spec的信息量。信息流抑制的计算公式为：CS＝H(T_spec|T_impl)。其中 T_spec为t_spec的概率分布，T_impl为t_impl的概率分布，H(T_spec|T_impl)为用户在已知T_impl的前提下得到的T_spec的熵。

在上述信息流抑制定义的基础上，定义信息流完整性攻击的难易程度，该难易程度通过获取信道知识所需要付出的攻击代价cost进行量化；在目标系统中某信道c(即叶节点)的cost 定义为：cost(c)＝I(T_in,T_spec)×n；其中T_in为用户的可信输入的概率分布，T_spec为不存在攻击者时信道的可信输出t_spec的概率分布，I(T_in,T_spec)为信道c的T_in和T_spec间的互信息，n为使 CS＝H(T_spec)情况下攻击者需要输入的不可信输入的比特数，CS为信道c的信息抑制流。

步骤S6，然后计算非叶节点的攻击代价，首先计算中间节点的攻击代价，每个中间节点均通过与门、或门或触发条件门连接多个叶节点，假定多个叶节点的信道集合为C＝{c₁,...,c_n}，因此中间节点的攻击代价为

其中根据中间节点连接其子节点的方式计算其攻击代价。

步骤S7，计算完成所有的中间节点的攻击代价之后，即可得到与根节点连接的若干个子节点的攻击代价，然后根据根节点与其子节点的连接方式计算根节点的攻击代价。该根节点的攻击代价为对目标系统进行信息流完整性攻击所需要的代价，能够用于评价其攻击的难易度。

本发明的一个完整的实施例为：

对于一个已知目标系统，将目标系统中各个信道上的攻击代价作为可能的叶节点，依据攻击系统的过程，自上而下的建立该系统对应的完整性威胁树，然后自下而上地计算出对目标系统的完整性攻击代价，其最终得到如图1所示的完整性威胁树结构图，该完整性威胁树的建立过程为：

步骤S1，从总体上分析被评估系统，确定该评估系统为攻击目标，以该目标作为完整性威胁树的根节点SE，即顶层事件。

步骤S2，以根节点SE作为上层节点(或上层攻击目标)，实施步骤S3。

步骤S3，分析达成上层节点(根节点SE)所需要达成的子节点(即与根节点SE连接的两个中间节点ME)，根据这些子节点之间的逻辑关系，通过与门、或门或条件触发门将子节点连接到上层目标节点下方(图1中为或门连接方式)，构成根节点SE的下一层节点。

优选的，所述达成上层节点的子节点还可以为多个，且子节点在连接模型中为输入事件，上层节点在连接模型中为输出事件。

优选的，当连接方式为条件触发门时，确定触发事件及触发运算。

步骤S4，对步骤S3中得到的两个中间节点ME。

其中右边的中间节点还可以分解为两个子节点，并且这两个子节点通过与门逻辑与其连接，同时其分解得到的两个子节点无法再继续分解，则这两个子节点为叶节点LE。

左边的中间节点分解为两个子节点，并且这两个子节点通过与门逻辑与其连接，并且这两个子节点均可以分解为两个子节点，则上述两个子节点为中间节点；然后在按照上述方式分解能够进行分解的子节点，最终得到所有的叶节点LE。

步骤S5，对完整性威胁树的每一个叶节点LE，按照上述计算方法计算其所攻击的信道所需付出的代价，作为攻击代价写入该叶节点的事件权值中。

步骤S6，自低向上遍历完整性威胁树的每一个非叶节点，获得该节点的所有子节点事件的事件权值及触发事件对应的触发权值和触发运算，根据该节点门结构的具体逻辑(与门、或门或条件触发门)，使用该门结构的上层cost计算公式，计算该节点的上层攻击目标对应的cost 值。最终得到顶层事件对应的cost值，即为对目标系统进行信息流完整性攻击的难易度。

本发明还提供了一种计算机装置，该计算机装置包括处理器和存储器，所述存储器上存储有可在处理器上运行的计算机程序，所述处理器通过计算机程序执行如上所述的信息流完整性攻击的度量方法。

本发明还提供了一种可读存储介质，可读存储介质上存储有计算机程序，所述计算机程序被处理器执行实现如上所述的信息流完整性攻击的度量方法。

Claims

1.一种信息流完整性攻击的度量方法，其特征在于，包括：

建立与目标系统相对应的完整性威胁树，完整性威胁树包括根节点、中间节点和叶节点；

所述根节点通过连接门连接若干个子节点，所述子节点为中间节点或叶节点；

所述中间节点通过连接门连接若干个子节点，所述子节点为中间节点或叶节点；

所述连接门为与门、或门或条件触发门；与门、或门和条件触发门均包括输入事件和输出事件，输入事件和输出事件均具有事件状态和事件权值，其中条件触发门还包括触发事件，触发事件具有触发状态、触发权值和触发运算；

所述根节点或中间节点通过连接门连接若干个子节点中，所述子节点为输入事件，所述根节点或中间节点为输出事件；所述输出事件或输入事件的事件权值为其对应节点的攻击代价；

所述叶节点的事件权值为该叶节点对应的信道的攻击代价；所述中间节点或根节点的事件权值为该中间节点或根节点的攻击代价，根节点或中间节点的事件权值通过其连接子节点的事件权值和连接门计算得到；

所述根节点的攻击代价为对目标系统进行信息流完整性攻击的难易度；

所述建立与目标系统相对应的完整性威胁树的具体过程包括以下步骤：

步骤S1，确定目标系统为攻击对象，将目标系统作为完整性威胁树的根节点，攻击目标系统的攻击代价为根节点对应的事件权值；

步骤S2，根节点的攻击代价由若干个子节点的攻击代价达成，根节点通过连接门连接所述子节点，子节点为中间节点或叶节点；

步骤S3，基于上一步骤中得到的中间节点，该中间节点由若干个子节点的攻击代价达成，中间节点通过连接门连接所述子节点，子节点为中间节点或叶节点；

步骤S4，重复步骤S3，直至中间节点通过连接门连接的子节点均为叶节点；

步骤S5，计算所述叶节点对应的信道的攻击代价，作为所述叶节点的事件权值；

步骤S6，根据与中间节点通过连接门连接的若干个子节点计算中间节点的事件权值，作为所述中间节点对应的目标的攻击代价；

步骤S7，根据与根节点通过连接门连接的若干个子节点计算根节点的事件权值，作为所述根节点对应的目标系统的攻击代价；得到与目标系统相对应的完整性威胁树；

所述叶节点的攻击代价的计算方式为：cost(c)＝I(T_in,T_spec)×n；其中T_in为用户的可信输入的概率分布，T_spec为不存在攻击者时信道的可信输出t_spec的概率分布，I(T_in,T_spec)为信道c的T_in和T_spec间的互信息，n为使CS＝H(T_spec)情况下攻击者需要输入的不可信输入的比特数，CS为信道c的信息抑制流；

所述中间节点或根节点的攻击代价的计算方法为：

cost(C)＝G_c∈C(cost(c))；其中c为与中间节点或根节点连接的子节点的集合，cost(c)为上述子节点的攻击代价，G为运算函数；当中间节点或根节点与其子节点之间为与门连接时，G为求和运算；当中间节点或根节点与其子节点之间为或门连接时，G为求已发生子节点事件对应代价的最大代价；当中间节点或根节点与其子节点之间为条件触发门连接时，G为触发运算。

2.根据权利要求1所述的信息流完整性攻击的度量方法，其特征在于，所述连接门为条件触发门，输出事件的事件状态通过若干个输入事件的事件状态的门运算关系得到，输出事件的事件权值通过若干个输入事件的事件权值及触发事件的触发权值的门运算关系得到。

3.根据权利要求2所述的信息流完整性攻击的度量方法，其特征在于，所述门运算为与门运算，条件触发门连接的所有输入事件的事件状态全部为发生状态时，输出事件的事件状态为发生状态。

4.根据权利要求3所述的信息流完整性攻击的度量方法，其特征在于，所述触发事件的触发状态为未发生状态，条件触发门连接的所有输入事件的事件权值通过求和运算得到全输出事件的事件权值；所述触发事件的事件状态为发生状态时，采用触发运算与所有输入事件的事件权值之间及触发事件的触发权值的关系计算得到输出事件的事件权值，具体为W_B＝F(W₁,…，W_n，W_T)；其中W_B为输出事件的事件权值，F()为触发运算，W₁,…，W_n为分别输入事件的事件权值，W_T为触发事件的触发权值。

5.根据权利要求2所述的信息流完整性攻击的度量方法，其特征在于，所述门运算为或门运算，条件触发门连接的任意一个输入事件的事件状态为发生状态时，则输出事件的事件状态为发生状态。

6.根据权利要求5所述的信息流完整性攻击的度量方法，其特征在于，所述触发事件的事件状态为未发生状态，条件触发门连接的输入事件的事件权值通过或运算得到输出事件的事件权值；所述触发事件的事件状态为发生状态时，采用触发运算与事件状态为发生状态的局部事件的事件权值及触发事件的触发权值之间的关系计算得到全局事件的事件权值，具体为W_B＝F(W_n，W_T)；其中W_B为全局事件的事件权值，F()为触发运算，W_n为事件状态为发生状态的一个局部事件的事件权值，W_T为触发事件的触发权值。

7.一种计算机装置，该计算机装置包括处理器和存储器，其特征在于，所述存储器上存储有可在处理器上运行的计算机程序，所述处理器通过计算机程序执行如权利要求1-6任意一项所述的信息流完整性攻击的度量方法。

8.一种可读存储介质，可读存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器执行实现如权利要求1-6任意一项所述的信息流完整性攻击的度量方法。