论文摘要
智能规划识别是人工智能研究中一个很活跃的研究领域,它已经被广泛地用于自然语言理解,知识推理,情景演算,agent助手等多个研究领域。尤其近来有学者将规划识别技术与入侵检测技术相结合应用于网络安全方面,取得了很多重要理论研究成果。入侵检测系统是根据分析采集的主机系统或网络的活动来检测入侵行为,入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测技术是继传统的安全保护措施之后新一代的安全保障技术,自从其诞生以来就对保障计算机的安全有着重要意义。目前,入侵防范研究的重点还是在入侵预防和入侵检测上,入侵响应大都只是在IDS系统中实现,其响应方式和响应能力受到一定限制。国外已经在入侵响应系统的技术方法和模型方面开展了研究。在面对大量网络攻击事件时,自动入侵响应系统能够在入侵发生后主动采取措施阻击入侵的延续和降低系统的损失,保护系统。本文通过对现有的规划识别及入侵检测理论的研究,基于规划识别理论有预测agent未来动作的特性,提出了在自动入侵响应系统中应用规划识别理论的想法,进而给出了自动响应系统中的规划识别模型。模型不仅能够识别出敌意入侵规划的目标,预测出对手将要采取的敌意动作,而且还可以在识别的过程中,给出敌意动作的应对措施,甚至还给出了即将要发生的敌意动作的解决方案。因此该模型很好地提高了现有系统及网络的安全性能。文中首次提出了在入侵检测领域中的敌意规划、敌意动作、应对动作、应对规划等概念,并且给出了相应的统一表示方法,同时给出了在自动响应系统中的树型层次结构的规划响应库模型,以及在此模型下的自动响应系统模型框架。框架中的事件采集器从网络数据包和主机日志中采集事件数据,自动响应系统则从规划响应库中搜索敌意规划和应对规划,这样一方面识别敌意规划目的意图,一方面给出应对措施,保护了系统,提高了系统的安全性。