1978年，Schmidet在文獻中第一次提出規(guī)劃識別問題（即意圖識別，Schmidet不區(qū)分規(guī)劃識別與意圖識別），認為“規(guī)劃識別”是通過觀察人的行為去理解他的意圖、信念和目標的過程，是心理學和人工智能的交叉問題。意圖識別的研究最早應用于對自然語言理解、故事理解、語音翻譯等，隨后逐漸應用到多智能體監(jiān)測與協(xié)作、動態(tài)交通監(jiān)控、冒險游戲、網(wǎng)絡入侵檢測、機器人、軍事等。經(jīng)過三十多年的發(fā)展，出現(xiàn)了很多模型和方法。

如基于解釋的意圖識別方法、基于決策理論的意圖的識別方法、基于規(guī)劃圖分析的意圖識別方法、基于概率推理的意圖識別方法等。

在網(wǎng)絡安全領域，多元信息融合領域的態(tài)勢評估技術(shù)和人工智能領域的意圖識別技術(shù)有強烈的應用需求和良好的發(fā)展前景，許多學者開始關(guān)注網(wǎng)絡安全態(tài)勢評估和額昂絡安全意圖識別的研究。Bass提出下一代的入侵檢測系統(tǒng)：應用多傳感器數(shù)據(jù)融合理論建立網(wǎng)絡空間的態(tài)勢感知框架，通過推理識別攻擊者身份、攻擊速度、入侵行為、攻擊意圖和進行威脅分析等，進而感知網(wǎng)絡空間安全態(tài)勢。

文獻借鑒軍事戰(zhàn)場意圖識別方法開展網(wǎng)絡攻防對抗下的入侵意圖識別和入侵策略的研究。攻擊手段的靈活多變使得通過低層次的系統(tǒng)事件或網(wǎng)絡事件分析入侵者的攻擊策略變得非常困難，而高層次的意圖識別能夠提供獨立于具體攻擊手段的高水平的分析平臺。在意圖分析的層面上，入侵檢測就變成使用各個異構(gòu)的IDS協(xié)同工作去證實或者否定事先定義的各種意圖假設。這兩篇文獻僅僅提出理論和概念的架構(gòu)，沒有提出具體的實現(xiàn)方法，更沒有形成實用的原型系統(tǒng)。

目前國內(nèi)外對網(wǎng)絡攻擊意圖識別的研究才剛剛開始，還沒有見到比較完整的理論方法以及實用的系統(tǒng)。

國內(nèi)卻有一些非常前沿的安防產(chǎn)品正是利用了這一概念，雖然沒有實現(xiàn)完全的自動化的意圖識別，但理論引導實踐這條路上，云漫又走在了前面。利用攻擊意圖分析的優(yōu)勢，在安防領域異軍突起，迅速占有了大部分的市場。

當然理論的發(fā)展離不開資金的投入，這是一個相輔相成的系統(tǒng)，互相促進，共同發(fā)展。

人工智能為網(wǎng)絡攻擊意圖識別提供思路

Honeywell實驗室的Geib等將人工智能領域的規(guī)劃識別引入到網(wǎng)絡安全的領域中來，并指出網(wǎng)絡安全領域中的識別規(guī)劃與傳統(tǒng)得規(guī)劃識別不同，是一種對抗式的規(guī)劃識別。因為攻擊者總是采取欺騙、隱蔽等手段掩蓋自己的行為和意圖。該方法將主體所有的 可能的攻擊行為作為擴展集。擴展集中概率最大的行為就是主題最可能的攻擊規(guī)劃，但存在一些不足：

很難構(gòu)建完備的規(guī)劃庫；為了更新擴展集需要搜索主體所有可能的行為，可能引發(fā)搜索空間爆炸。文獻在規(guī)劃識別基礎上結(jié)合網(wǎng)絡攻擊的對抗特點提出了基于擴展目標規(guī)劃圖的網(wǎng)絡攻擊規(guī)劃識別方法。該方法將觀察到的具體動作轉(zhuǎn)化為抽象動作，根據(jù)抽象動作之間的關(guān)聯(lián)識別背后蘊藏的攻擊規(guī)劃，這與將報警泛化為超報警的本質(zhì)是相似的。文獻建立了入侵檢測的規(guī)劃識別模型，采用因果告警關(guān)聯(lián)分析和貝葉斯推理網(wǎng)絡實現(xiàn)規(guī)劃識別，以找回因入侵檢測自身的檢測策略不足和網(wǎng)絡覆蓋范圍脆弱性而丟失的關(guān)鍵告警，重構(gòu)實際的攻擊場景。這三項研究在人工智能了領域中意圖識別的經(jīng)典方法基礎上做了相應改進，提出理思路和理論框架。但是這些研究主要還是對已經(jīng)發(fā)生的攻擊行為的識別和提煉上，對網(wǎng)絡安全領域的復雜特點沒有針對性，對不確定的描述和推理攻擊者的意圖（最終目標）識別以及威脅分析等的研究還沒有開展。

基于攻擊行為的報警關(guān)聯(lián)、攻擊場景構(gòu)建

Cuppens等在MIRADOR項目中通過報警關(guān)聯(lián)分析來提煉攻擊者的入侵策略。對攻擊行為的前提、后果進行建模，根據(jù)后續(xù)行為的前提與先前行為的后果是否匹配來對兩個行為進行關(guān)聯(lián)。當檢測到攻擊行為時，搜索滿足匹配條件的攻擊路徑來構(gòu)造攻擊者的規(guī)劃。當有多條攻擊路徑對應著不同的攻擊目標時，選擇最短的攻擊路徑對應的攻擊目標作為攻擊者的入侵意圖。隨著事件數(shù)量的增多，關(guān)聯(lián)搜索空間急劇增大，不適合大規(guī)模的在線處理。而且，當攻擊者的行為對應著多個攻擊目標時，選擇最短路徑顯然不能達到最佳效果。Qin等將攻擊樹轉(zhuǎn)化為因果網(wǎng)絡，并關(guān)聯(lián)孤立的攻擊場景，利用專家知識給出因果網(wǎng)絡的先驗概率分布，推理攻擊者的意圖和攻擊行為。該方法需要先驗知識來構(gòu)建因果網(wǎng)絡和條件概率。Ning等提出通過報警關(guān)聯(lián)報警自動自動生成攻擊策略的方法。攻擊策略通過攻擊策略圖來描述，節(jié)點代表攻擊行為，邊代表攻擊的時間順序，邊與節(jié)點的約束關(guān)系將攻擊行為關(guān)聯(lián)起來。該方法將一些形式不同但本質(zhì)相同的報警泛化成超報警后再經(jīng)行關(guān)聯(lián)，簡化攻擊策略分析。