Honeywell实验室的Geib等将人工智能领域的规划识别引入到网络安全的领域中来,并指出网络安全领域中的识别规划与传统得规划识别不同,是一种对抗式的规划识别。
因为攻击者总是采取欺骗、隐蔽等手段掩盖自己的行为和意图。该方法将主体所有的 可能的攻击行为作为扩展集。扩展集中概率最大的行为就是主题最可能的攻击规划,但存在一些不足:
很难构建完备的规划库;为了更新扩展集需要搜索主体所有可能的行为,可能引发搜索空间爆炸。
文献在规划识别基础上结合网络攻击的对抗特点提出了基于扩展目标规划图的网络攻击规划识别方法。该方法将观察到的具体动作转化为抽象动作,根据抽象动作之间的关联识别背后蕴藏的攻击规划,这与将报警泛化为超报警的本质是相似的。
文献建立了入侵检测的规划识别模型,采用因果告警关联分析和贝叶斯推理网络实现规划识别,以找回因入侵检测自身的检测策略不足和网络覆盖范围脆弱性而丢失的关键告警,重构实际的攻击场景。
这三项研究在人工智能了领域中意图识别的经典方法基础上做了相应改进,提出理思路和理论框架。但是这些研究主要还是对已经发生的攻击行为的识别和提炼上,对网络安全领域的复杂特点没有针对性,对不确定的描述和推理攻击者的意图(最终目标)识别以及威胁分析等的研究还没有开展。
目前安全产品的发展也是朝着这一方向,紧跟理论发展的方向。