（计算机软件与理论专业论文）规划识别在自动响应系统中的应用.pdf

摘要 智能规划识别是人工智能研究中一个很活跃的研究领域，它已经被广泛地用于自然 语言理解，知识推理，情景演算，a g e n t 助手等多个研究领域。尤其近来有学者将规划 识别技术与入侵检测技术相结合应用于网络安全方面，取得了很多重要理论研究成果。 入侵检测系统是根据分析采集的主机系统或网络的活动来检测入侵行为，入侵检测 系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测技术是继传统 的安全保护措施之后新一代的安全保障技术，自从其诞生以来就对保障计算机的安全有 着重要意义。目前，入侵防范研究的重点还是在入侵预防和入侵检测上，入侵响应大都 只是在i d s 系统中实现，其响应方式和响应能力受到一定限制。国外已经在入侵响应系 统的技术方法和模型方面开展了研究。在面对大量网络攻击事件时，自动入侵响应系统 能够在入侵发生后主动采取措施阻击入侵的延续和降低系统的损失，保护系统。 本文通过对现有的规划识别及入侵检测理论的研究，基于规划识别理论有预测 a g e n t 未来动作的特性，提出了在自动入侵响应系统中应用规划识别理论的想法，进而 给出了自动响应系统中的规划识别模型。模型不仅能够识别出敌意入侵规划的目标，预 测出对手将要采取的敌意动作，而且还可以在识别的过程中，给出敌意动作的应对措施， 甚至还给出了即将要发生的敌意动作的解决方案。因此该模型很好地提高了现有系统及 网络的安全性能。 文中首次提出了在入侵检测领域中的敌意规划、敌意动作、应对动作、应对规划等 概念，并且给出了相应的统一表示方法，同时给出了在自动响应系统中的树型层次结构 的规划响应库模型，以及在此模型下的自动响应系统模型框架。框架中的事件采集器从 网络数据包和主机日志中采集事件数据，自动响应系统则从规划响应库中搜索敌意规划 和应对规划，这样一方面识别敌意规划目的意图，一方面给出应对措施，保护了系统， 提高了系统的安全性。 关键词：规划识别；入侵检测系统；自动响应；规划库 a b s t r a c t i n t e l l i g e n tp l a nr e c o g n i t i o ni sa na c t i v er e s e a r c ha r e ai na r t i f i c i a li n t e l l i g e n c e i th a s b e e na p p l i e di n t om a n yr e s e a r c hf i e l d ss u c ha sn a t u r a ll a n g u a g eu n d e r s t a n d i n g , k n o w l e d g e r e a s o n i n g , a g e n th e l p a n ds oo n e s p e c i a l l yn o w a d a y ss o m es c h o l a r sc o m b i n e dp l a n r e c o g n i t i o nw i t hi n t r u s i o nd e t e c t i o ns y s t e m si ni n t e r a c ts e c u r i t yr e s e a r c ha n dg o tv e r yg o o d r c s u l t s i n t r u s i o nd e t e c t i o ns y s t e mi st od e t e c ti n t r u s i o na c t i o na c c o r d i n gt ot h ea n a l y s i so fh o s t o rn e t w o r ka c t i v i t yg a t h e r e d i n t r u s i o nd e t e c t i o ns y s t e mi sc l a s s i f i e dt ob a s e d - o nh o s ti d sa n d b a s e d - o nl a c t w o r ki d s i d st e e l m o l o g yi sal l c wg e n e r a t i o no fs e c u r i t yd i f f e r e n tf r o mt r a d i t i o n s e c u r i t yt e c h n o l o g y n o wr e s e a r c ho i li d si sf o c u s e do ni n t r u s i o np r o t e c t i o na n di n t r u s i o n d e t e c t i o n i n t r u s i o nr e s p o n s ei sm a i n l yi m p l e m e n t e di ni d s ，w h i c hl i m i t st h ep e r f o r m a n c eo f r e s p o n s em e t h o da n dr e s p o n s ea b i l i t y f o r e i g ns c h o l a r sh a v ec a r r i e do u tr e s e a r c ho ni n t r u s i o n r e s p o n s es y s t e m sa n dm o d e l s w i t hal a r g ea m o u n to f n e t w o r ka t t a c k s ，t h ei n t r u s i o nr e s p o n s e s y s t e m sc a na c t i v e l yp r o t e c tt h ec o m p r o m i s e ds y s t e m sa n dm i n i m i z et h el o s so ft h es y s t e m a f t e rt h ei n t r u s i o nh a p p e n e d w i t hr e s e a r c ho i lp l a l lr e c o g n i t i o na n di n t r u s i o nd e t e c t i o ns y s t e mt h e o r y , b a s e d - o n a t t r i b u t eo fp l a nr e c o g n i t i o np r e d i c t i n ga g e l l tf u t u r ea c t i o n s ，t h i sp a p e rp r o p o s e st h ei d e ao f u s i n gp l a nr e c o g n i t i o ni ni d s ，t h e ng i v e st h ep l a nr e c o g n i t i o nm o d e li n t h ea u t o m a t e d i n t r u s i o nr e s p o n s es y s t e m t h i sm o d e lc a l ln o to n l yr e c o g n i z et h eg o a lo fh o s t i l ei n t r u s i o n p l a na n dt h ef u t u r eh o s t i l ea c t i o n s ，b u ta l s og i v er e s p o n s ea c t i o n t ot h ea c t i o n sa n de i , t ：1 1f u t u r e h o s t i l ea c t i o n s t h u st h em o d e li m p r o v e st h es a f e t yo fc o m p u t e rs y s t e ma n dt h ei n t c m e t d o m a i n k e yw o r d s ：p l a nr e c o g n i t i o n ；i n t r u s i o nd e t e c t i o ns y s t e m ；a u t o m a t e di n t z u s i o nr e s p o n s e s y s t e m s ；p l a nl i b r a r y 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。据我所知，除了文中特别加以标注和致 谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得东北师范大学或其他教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示谢意。 。学位论文作者签名：主j 垂塾i 妄日期：乏2 出! ：兰三 学位论文版权使用授权书 本学位论文作者完全了解东北师范大学有关保留、使用学位 论文的规定，即：东北师范大学有权保留并向国家有关部门或机 构送交学位论文的复印件和磁盘，允许论文被查阅和借阅。本人 授权东北师范大学可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或其它复制手段保存、汇编 学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：主! l 垂塾f 诂导教师签名： 日 期：2 生丑：至e t 期： 学位论文作者毕业后去向： 工作单位： 通讯地址： 电话： 邮编： 引言 随着计算机网络的不断发展和普及，网络入侵的风险和机会也越来越多，网络安全 已经成为人们无法回避的问题，因此为了保护现有越来越多的数据信息，入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 也成为了一种非常重要的技术，得到了越来越 多的重视。 入侵检测系统是根据分析采集的主机系统或网络的活动来检测入侵行为，由此入侵 检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测技术是继 传统的安全保护措施之后新一代的安全保障技术，自从其诞生以来就对保障计算机的安 全有着重要意义。 入侵检测技术的方法还是主要停留在异常检测和误用检测上，现有的入侵检测系统 存在着诸如漏报率高、误报率高、智能性差等问题。必须将入侵检测与其他学科和技术 领域的知识相结合以提高系统的性能，如人工智能、数据挖掘、模糊理论等，以减少误 报、漏报，增强系统健壮性，主动预防攻击的发生。 目前，入侵防范研究的重点还是在入侵预防和入侵检测上，入侵响应大都只是在i d s 系统中实现，其响应方式和响应能力受到一定限制。国外已经在入侵响应系统的技术方 法和模型方面进行了研究。在面对大量网络攻击事件时，自动入侵响应系统能够在入侵 发生后主动采取措施阻击入侵的延续和降低系统的损失，保护系统。 智能规划( a ip l a n n i n g ) 和规划识别( p l a nr e c o g n i t i o n ) 是人工智能领域中一个重 要的研究领域。规划问题实质就是在给定初始状态和目标状态条件后，求实体从初始状 态执行怎样的规划才能到达目标状态的过程。而规划识别问题则是根据观察到a g e n t 的 片断的琐碎现象，推出具有合理的因果联系的完整而全面的规划描述的过程。智能规划 和规划识别是一个多领域交叉的研究领域，它涉及知识表达、知识推理、非单调逻辑、 情景演算、人机交互和知识挖掘等各个方面，是目前人们研究的热点问题之一。 本文通过对现有的规划识别及入侵检测理论的研究，基于规划识别理论有预测 a g e n t 未来动作的特性，提出了在自动入侵响应系统中应用规划识别理论的想法，进而 给出了自动响应系统中的规划识别模型。模型不仅能够识别出敌意入侵规划的目标，预 测出对手将要采取的敌意动作，而且还可以在识别的过程中，给出敌意动作的应对措施， 甚至还给出了即将要发生的敌意动作的解决方案。因此该模型有利于提高现有系统和网 络的安全性能。 第一章入侵检测及自动响应 1 1 入侵检测问题概述 随着i n t e r n e t 的迅猛发展和信息时代的到来，网络正在从根本上改变着人们的生 活方式。信息的开放及共享带来高效率和高质量生活的同时，也为信息安全带来了危机。 黑客入侵、网上经济犯罪、垃圾电子邮件等都预示着全球信息安全的形势不容乐观。虽 然防火墙是抵御入侵的重要手段，但它采取的是一种静态的策略，要求事先设置规则， 对于实时攻击或异常行为不能实时反应，无法自动调整策略设置以阻断正在进行的攻 击。 为了保障信息安全及计算机系统安全，必须提高系统检测非法攻击和入侵的能力， 这个重要的研究领域就是入侵检测( i n t r u s i o nd e t e c t i o n ，简称i d ) ，设计用来入侵检 测的系统称为入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 入侵检测是基 于计算机网络环境兴起的一个非常活跃的研究领域，国外对入侵检测技术的研究开始于 2 0 世纪8 0 年代，1 9 8 0 年4 月，j a m e sp ，a n d e r s o n 为美国空军傲了一份题为 c o m p u t e r s e c u r i t yt h r e a tm o n i t o r i n ga n ds e r v e i l l a n c e ( 计算机安全威胁监控与监视) 的技 术报告，第一次详细阐述了入侵检测的概念。a n d e r s o n 提出了一种对计算机系统风险 和威胁的分类方法，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认 是入侵检测的开山之作。1 9 8 7 年d e n n i n g “在其论文 a ni n t r u s i o nd e t e c t i o nm o d e l ) 中给出一个通用的入侵检测专家系统框架，同时提出入侵检测经典模型i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，它独立任何特殊的系统、应用环境、系统脆弱性。该模型 有：1 主体：即用户：2 对象：即资源；3 审计记录：即主体对对象的操作，包括正常操 作时的登录、退出、读、写、执行等，异常操作时的异常报告，及资源消耗的情况等； 4 活动档案：即保存系统正常活动的相关信息；5 异常记录：即保存异常事件发生的相 关信息；6 活动规则：即一组根据产生的异常记录来判断入侵是否发生的规则集合。 图1 1d e n n i n g 通用入侵检测模型 2 在2 0 世纪8 0 年代以后，出现了大量的i d 原型系统，如在1 9 9 7 年，美国国防部高 级研究计划局的c i d f 工作组( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r kw o r k i n gg r o u p ) 提出一个入侵检测系统的通用模型。一个入侵检测系统分成四个组件： 1 事件产生器( e v e n tg e n e r a t o r s ) ：从整个网络环境中获取事件。 2 事件分析器( e v e n ta n a l y z e r s ) ：分析事件数据，得到分析结果。 3 响应单元( r e s p o n s eu n i t s ) ：根据分析结果做出响应。 4 事件数据库( e v e n td a t a b a s e s ) ：存储和管理事件数据。 图1 2c i d f 的i d s 通用模型体系结构 1 2 入侵检测技术的分类及功能 目前的入侵检测技术可分为两类：一种是误用检测( m i s u s ed e t e c t i o n ) ，另一种 是异常检测( a n o m a l yd e t e c t i o n ) 。误用检测是对利用已知的系统漏洞和网络攻击方法 进行的入侵活动的检测，其优点是可以有针对性的建立高效的入侵检测系统，其缺点是 无法检测未知的入侵方式以及已知入侵的变形；而异常入侵检测需要建立目标系统和用 户的实际活动进行审计，以判定系统是否正在遭受入侵，异常检测的实质是将用户的异 常行为看作是可疑的入侵行为，其优点是不需要已知的漏洞和攻击方法的知识，具有较 强的适应性，缺点是难以高效的提取准确的用户行为模式。 入侵检测系统主要功能是：系统构造和弱点的审计；监视、分析用户及系统活动； 识别已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统 和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 1 3 入侵检测系统存在的问题 当前的入侵检测系统由于自身的原因( 如检测机制的不健全而不能检测未知攻击或 一些已知攻击的变种) 以及网络覆盖范围的漏洞使得一些恶意攻击不能被检测，可能产 生大量的漏报和误报。而这些漏报误报及大地影响了入侵检测系统的性能，致使入侵检 测系统的智能性极差。为了解决上面的问题，很多学者已经把人工智能、模糊理论、数 据挖掘以及网络管理等方面的技术应用到入侵检测系统中来，以提高入侵检测系统的性 能，减少漏报和误报，增强对攻击的预测能力。 张剑，龚俭0 3 提出了用模糊默认理论改造传统的单调推理机制和响应引擎的方法， 3 从而建立了基于人工智能的入侵检测系统。陈观林，王泽兵和冯雁“1 提出了一个智能化 的网络入侵检测模型s m a r tn i d s ，利用数据挖掘技术对网络行为数据进行智能检测，分 析来自网络外部的入侵攻击以及内部的未授权行为，同时结合人工智能的规划识别方法 识别攻击者的入侵意图，提供入侵检测的实时报警和主动响应。李家春，李芝棠”1 将a i 领域中规划概念引入了入侵检测，建立了入侵检测的规划识别模型，采用因果告警关 联分析和贝叶斯推理模型实现规划识别，以找回因入侵检测自身的检测策略不足和网络 覆盖范围漏洞而丢失的关键告警，重构攻击场景，预测攻击者的下一步行为，从而起到 了提前预警的作用。冯力，管晓宏”等提出了基于规划识别理论的入侵预测方法，通过 对主机上的系统调用序列为观察对象建立预测模型，提出了一种带参数补偿的贝叶斯网 络动态更新算法，对观察对象的目的进行预测，取得了良好的效果。 1 4 自动入侵响应系统概述 入侵检测系统只有有限的响应功能，当检测到入侵行为时，它们可能采取报警、通 知系统管理员或断开本地连接等方式。但这些方式都是很被动的，也很难知道入侵者来 自何方，如何正确处理入侵。目前入侵防范研究的重点还是在入侵预防和入侵检测上， 入侵响应大都只是在i d s 系统中实现，其响应方式和响应能力受到一定限制。国外已经 在入侵响应系统的技术方法和模型上进行了研究，而我国在入侵响应方面的研究刚刚起 步 面对大量网络攻击事件，自动入侵响应系统能够在入侵发生后，主动采取措施阻击 入侵的延续和降低系统的损失，保护受害系统。 自动入侵响应系统”3 的模型如图1 3 所示。系统的输入是入侵检测系统输出的安全 事件( s e c u r i t ye v e n t ) ；响应决策( r e s p o n s e 耐i c y ) 模块依据响应决策知识库( r e s p o n s ep o l i c y k n o w l e d g el i b r a r y ) ，决定对于输入的安全事件做出什么响应，产生响应策略；响应策略用 某种中间语言描述，然后由响应执行( r e s p o n s e i m p l e m e n t a t i o n ) 模块解释执行，并调用响应 工具( r e s p o n s et o o ll m r a r y ) 中预先编制好的响应工具；响应评估( r e s p o n s ee v a l u a t i o n ) 模块对 做出的响应进行评估，评估结果再反馈到响应决策模块，调整和改进响应决策机制。在 自动入侵响应中，响应决策模块是整个系统的核心，因为及时、有效、合理的响应策略 是提高系统 图1 3 自动入侵响应系统的模型 4 1 5 自动入侵响应系统分类 自动入侵响应系统从响应方式可分为基于主机的入侵响应系统和基于网络的入侵 响应系统。基于主机的入侵响应系统主要针对主机系统的入侵，其响应主要在受害主机 上进行，其响应方式有记录安全事件、限制用户权限、暂停用户进程、封锁用户帐号、 建立备份系统等。基于网络的入侵响应系统针对网络的入侵，其响应主要在防火墙、网 络设备和网管工作站上进行，其响应方式主要有记录安全事件、隔离入侵者i p 、追踪入 侵、断开危险连接、反击攻击者等。 自动入侵响应系统从响应范围可分为本地响应系统和协同响应系统。本地响应系统 是根据本地的安全事件信息，在本地主机或网络设备上进行局限于本地的响应。协同响 应系统是在大规模网络中，各响应系统之间在整个网络内的主机或网络设备上共享安全 事件信息、协同响应，使响应系统做出更合理的响应，使系统总的损失达到最小。 从自动响应系统采用的技术角度来分析，自动入侵响应系统目前采用自适应技术、 移动代理技术、i d i p 协议( i n t r u d e rd e t e c t i o na n di s o l a t i o np r o t o c 0 1 ) 、入侵者检 钡0 与隔离协议和主动网络技术等多种技术。 5 第二章规划识别问题 2 1 规划识别概述 s c h m i d e t 在1 9 7 8 年第一次提出规划识别问题。规划识别问题属于心理学和人工智 能交叉领域的问题，它涉及到知识表达、知识推理、非单调逻辑、情景演算、人机交互 和知识挖掘等方面知识。k a u t z 脚在1 9 8 6 年第一次基于限定理论和最小化集合的思想提 出了规划识别的通用框架，使智能规划识别的发展有了很大的飞跃。 规划识别是根据观察到a g e n t 的片断的琐碎现象，推出具有合理的因果联系的完整 而全面的规划描述的过程。一个规划识别器推出的规划既能补充一些我们未观察到而又 实际发生的现象，同时还可以预测未来合理地推出a g e n t 未来可能采取的动作。假 设我们观察到j o h n 做好了调味汁，现在正在烧水。那么，基于如图2 1 所示的规划， 我们有理由相信j o h n 的目标是做p a s t a ，同时我们可以预测他下一步是煮面条，而且已 经做好面条。 圆圈固圆固 做意大利面条做面条做调味汁烧水煮面条混合 图2 1 一个简单的规划 2 2 规划识别分类 规划识别根据被推理的a g e n t 在规划识别中的作用可以分为两类： 1 、洞孔式规划识别( k e y h o l er e c o g n i t i o n ) ：这种识别在识别过程中，被观察和 推理的a g e n t 不影响规划识别过程，通过不引人注目的观察来推断a g e n t 的目标，而 a g e n t 只管做它自己的事。 2 、有意的规划识别( i n t e n d e dr e c o g n i t i o n ) ：这种识别在识别过程中，被观察和 推理的a g e n t 影响规划识别过程，而这种影响又分为两种：帮助或阻碍识别过程。帮助 识别过程这种情况通常出现在语言理解和协作性系统中( a g e n t 尽量地传递它的规划， 这样有助于更好的协作) ：阻碍识别过程这种情况通常出现在敌对的环境，如军事战争 中，在此环境中当a g e n t 意识到或发现人在观察和推理自己的规划时，a g e n t 会主动地 采取有效的措施来阻碍规划识别过程。 6 规划识别根据有无规划库又可以分为： 1 有规划库的规划识别，有规划库的规划识别主要以k a u t z ”1 的方法为代表。 2 无规划库的规划识别，j u nh o n g “”的基于目标图分析的规划识别和m i n g h a oy i n 1 的基于回归图分析的规划识别方法都属于无规划库的规划识别。 规划识别还可以根据识别器是否具有完整的知识及被观察的a g e n t 是否会犯错误进 行分类。 2 3 规划识别的发展过程及方法 2 3 1 基于k a u t z 删的理论的推理方法 k a u t z 的主要思想是建立一个事件( 规划) 的层次结构，由动作的不同抽象组成。 这个层次结构用来组成规划库。规划识别时通过将观察到的动作与这个层次结构相匹 配，试图建立用户高层目标的规划。每当观察到一个动作，识别器就试图剪去和该动作 不一致的规划，把该动作加入到与其一致的规划中。k a u t z 作了两个封闭世界假设： 已知的执行一个动作的方法就是执行该动作的所有方法： 所有动作都是有目的的，必须知道执行一个动作的所有可能的理由。 这些假设用来评价从一个观察到的动作集合得到的结论是否合理，可以通过 m c c a r t h y “o 的限定理论体现。 k a u t z 方法的问题是： ( 1 ) k a u t z 的规划识别得到的是所观察到的动作的最小规划集。如果规划集里有多个 规划时，它不能够确定哪一个规划更能解释观察到的动作集合。 ( 2 ) 高层规划的确定是根据具体的问题来确定的，没有明确的标准，例如走路可以 作为一个高层规划也可以作为购物规划的一部分。 ( 3 ) k a u t z 的规划识别不能识别没有出现在规划库中的新规划，即它要求规划库是完 整的。 2 3 2 基于逻辑的规划识别 ( 1 ) 基于溯因理论的规划识别 溯因理论是一种逆推理归纳，它是一种由结论成立而推出前提以某种置信度成立 的归纳方法。这种方法的一般模式是：若h 为真时，则h e 必为真：观察到e 成 立；则h 以某种置信度成立。l i n 和g o e b e l 发现了溯因理论和规划识别之间的联系， 可以将溯因理论运用到规划识别中，当观察到一个结论时，会寻找它发生的原因来作为 该结论产生的解释。 ( 2 ) 基于缺省推理的规划识别 缺省理论是在知识不完全的情况下使推理得以继续下去的一种非单调推理理论。缺 省推理的核心是在默认或假设某些命题成立的前提下进行推理。c a r b e r r y 根据对自然 对话的分析以及对人类推理的心理研究提出了一个基于默认推理的规划识别的模型。它 的主要思想是通过支持适当的默认推理来延迟无根据的结论( 或决策) 直到进一步的证 7 据出现，从而逐步( 逐渐) 地更新用户规划的系统模型。比如说，我们对鸟默认的推理是 鸟会飞，但其实并不是所有的鸟都会飞( 如鸵鸟、企鹅等就不会飞) ，但对于某个具体的 鸟a ，我们可能开始时就会推断a 会飞。如果随后我们又获得进一步的证据a 是一个鸵 鸟，我们就会更新或撤消前面的结论，并做出结论a 不会飞。 ( 3 ) 基于限定理论的规划识别 规划识别是根据观察到的一些现象来推测a g e n t 可能执行的规划。这些规划通常是 在假设识别器具有完整的知识，而且a g e n t 不会犯错误的条件下获得的。如果由于执行 了某一个动作而改变了某个性质或出现某个现象，那么这个动作是能使这个性质改变或 这个现象出现的所知道的所有动作。m c c a r t h y “”的限定逻辑( c i r cc 抒c u m s c r i p t i o n ) 的基本思想是“从某些事实a 出发能够推出具有某一性质p 的对象就是满足性质p 的全 部对象”规划识别和限定理论很相似，所以用限定理论来求解规划识别问题是一种很 好的方法。k a u t z 的规划识别表示方法就是基于限定的思想来进行规划识别的，但并没 有采用限定理论进行求解。姜云飞和马宁“”提出了利用限定理论求解规划识别问题。 由于各种逻辑理论都比较完备，所以基于逻辑框架的规划识别能够较好地进行形式 化地推理，使得规划识别的推理过程得到简化。 2 3 。3 基于概率方法的规划识别 由于纯粹的逻辑框架将产生多个规划假设，虽然各个假设的可能性不同，但在基于 逻辑的规划识别框架中是相同对待的。所以，很多学者提出在规划识别中引入不确定性 推理来对规划假设进行排序，选出最优的规划假设作为规划识别的解。c h a r n i a k 和 g o l d m a n “”提出将贝叶斯推理运用到规划识别中，b a u e r 提出将证据理论运用到智能帮助 系统领域的规划识别中。 ( 1 ) 贝叶斯网络方法( b a y e s i a nn e t w o r ka p p r o a c h ) c h a r n i a k 和g o l d m a n “”提出一种基于贝叶斯网络的规划识别模型。他们将规划识别 看作是推理的特例，并描述了一种根据一些观察到的动作生成可能的解释图的规划识别 方法。 这种规划识别模型由关于这个世界的事实的知识库组成，它用于生成贝叶斯网络， 称为规划识别贝叶斯网络。通过对给定的知识库和一些给定的动作形成规划识别贝叶斯 网络集合，然后采用前向链式规则进行推理。 这种方法的主要问题是当知识库和证据集合增加时，贝叶斯网络的大小会快速增 加，所以不适用于比较复杂的问题领域。 ( 2 ) 贝叶斯方法( b a y e s i a na p p r o a c h ) 贝叶斯方法是使用概率中的贝叶斯理论来评估一个解释的可能性。规划识别的思想 是生成所有可能的解释，然后利用贝叶斯理论来评价各个解释，最后选择最可能的一个。 它和贝叶斯网络方法的区别是：贝叶斯网络方法是将规划库中的因果关系用贝叶斯网络 来表示，然后根据新出现的证据进行推理，而贝叶斯方法只是用贝叶斯推理来估计各个 候选规划的可能性，然后选一个可能性最大的作为所观察到的动作集合的解释，适用于 那些比较容易得到先验概率的问题领域。 b ( 3 ) 基于d e m p s t e r s h a f e r 证据理论的规划识别 由于贝叶斯推理需要知道各个假设的先验概率及条件概率，这在很多领域是很难得 到的。证据理论具有比概率论弱的公理能够区分“不确定”和“不知道”的差异，并 能处理由“不知道”引起的不确定性，具有较大的灵活性。b a u e r 提出将证据理论运用 到智能帮助系统领域的规划识别中。利用证据理论进行规划识别的主要思想是：将规划 识别过程分为两个阶段，第一个阶段是根据观察到的动作或现象及背景知识进行规划推 理，得到多个规划假设：第二个阶段是利用证据理论对各个候选的规划假设进行评价， 选择出最优的规划假设。利用证据理论选择最优的规划假设过程是：假设给规划假设集 合一个初始的概率分配函数m o ，当出现一个新的观察w 后，根据w 将生成一个新的概率 分配函数m l ，然后运用证据理论的合并规则将m 0 和m 1 合并成一个新的概率分配函数。 证据理论的优点是它只需要基本的概率分配函数，而不象贝叶斯方法需要条件概率。 2 3 4 基于语法分析的规划识别 v i l l a i n “”提出了采用语法分析的方法进行规划描述。采用语法分析的规划识别模 型主要用在故事理解和d i s c o u r s e ( 谈话分析) 中。 。 2 3 5 基于规划知识图的规划识别 姜云飞“”在一种基于规划知识图的规划识别算法中提出利用规划知识图进行规 划识别。它的主要思想是将k a u t z 的层次结构图转换为一个规划知识图，规划知识图是 一个非循环的与或图。然后利用与或图的宽度优先算法来求能够解释观察到的动作集合 的规划集。该方法的主要优点是与或图的搜索算法己经非常成熟，所以可以很好地控制 搜索过程。 2 3 6 利用目标图分析进行规划识别 b l u m 和f u r s t “7 1 提出利用规划图进行快速规划，h o n gj u n 从规划图得到灵感，提出 利用目标图进行规划识别。它的主要思想是先构造一个目标图，然后通过对目标图的分 析进行规划识别。这种识别方法的特色是它不需要规划库，而且不像别的识别系统是在 整个规划空间中搜索规划，而是先构造一个目标图，然后分析目标图来识别目标和有效 规划。另一个特点是这种方法识别的规划是与目前观察到的动作一致的部分或完全实现 的目标。它适用于故事理解、软件的咨询系统、数据查询优化等领域。这些问题领域有 以下几个特点：大多数动作都是可以观察到的：通过这些观察到的动作，用户的目标 可能部分或完全实现：识别目标是为了解释己发生的( 过去的) 动作而不是为了预测未 来的动作。该方法的优点是目标图构造算法和分析算法都是多项式时间和空间的，而且 识别的目标准确率比较高。 2 3 7 基于回归图的规划识别 m i n g - h a oy i n 在h o n gj u n 的目标图的基础上提出了利用回归图进行规划识别。回 归图是由命题结点、动作结点和目标结点组成的。它是基于将回归图中的结点分成确定 的结点和可能的结点的思想进行识别确定的目标和可能的目标。该方法既保留了目标图 分析的方法的优点，又有自己独特的优点：能识别出确定的一致目标和可能的一致目标。 9 2 4 规划识别的应用 规划识别的应用领域很广泛，规划识别主要应用在故事理解、自然语言识别、谈话 分析、心理学模型和智能计算机接口等领域，随着规划识别的发展，它的应用领域也逐 渐地在扩展。 l 操作系统 在操作系统环境中识别用户的规划可以使系统做许多有用的事情。例如：提出建议、 自动地纠正用户的错误，并自动完成任务。h u f f 和l e s s e r “”建立了一个智能系统来帮 助计算机程序员，系统观察u n i x 中的用户命令，基于这些命令决定用户的规划。它可以 识别程序设计员的规划，如浏览代码、编辑代码、编译等等。l e s h o ”建立一个规划识别 系统，它可以识别u n i x 和w i n d o w sn t 环境下的目标。 2 自然语言理解( n a t u r a ll a n g u a g e ) 规划识别研究的早期最主要的应用领域是自然语言处理。人与人之间的沟通和交流 就是有意地识别，需要识别讲话的意图。 ( 1 ) 故事理解 故事是有结构的，根据故事中人物的言语和行为识别人物的性格能更好地理解故事 中的人物。早期的故事理解系统都采用了规划识别来提取故事的结构 ( 2 ) 谈话分析 早期的规划识别在谈话分析上应用很广泛。根据一段谈话，这段谈话所传达的意思， 识别出谈话的内容后，自动地生成回答。这在早期的人机对话系统很有意义 ( 3 ) 机器翻译 一个好的机器翻译系统需要理解讲话者的规划和目标及意图。v e r b m o b i l m l 系统是 一个一句一句自然语言翻译系统，它能翻译英语、德语和日语，对规划的识别可以允许 更健壮和精确的翻译。 ( 4 ) 对话系统 c a r b e r r y 乜1 3 在一个对话系统中使用规划识别来建议大学生的选课、如何得到学位 等。识别用户的规划可以使系统提出更适宜和有用的回答给学生。 3 智能用户接口 在智能用户接口中，运用规划识别可以站在用户的肩膀上观察用户的动作，在适当 的时候给用户提供帮助或识别出用户的且标后直接帮助用户完成任务，减轻用户的负 担。 ( 1 ) 智能帮助系统 与规划识别在操作系统中的应用相对应的是智能帮助系统，它可以观察用户的动 作，识别用户当前的目标，给出帮助。如u n i x 咨询工作( u n i xc o n s u l t a n tp r o j e c t ，u c ) 蚴是在u n i x 操作系统下进行规划识别，它的另一个作用是帮助初学者学习使用u n i x ， 初学者可以提出关于如何使用u n i x 操作系统的问题及如何在u n i x 环境下完成一个任务 等问题，u c 将给出回答并根据用户的问题识别用户的目标，给出最好的帮助b a u e r 实现了一个邮件智能帮助系统。 ( 2 ) 智能教学 g r e e t 和k o e h n 嘲3 给出了几个规划识别怎么与智能教学相关的例子，包括识别学生 求解问题的规划，并改进学生问题求解模型。 ( 3 ) 多智能体交互协作 在复杂的应用环境中通常多个a g e n t 相互协作完成任务。为了完成任务，多个a g e n t 之间需要通信，相互了解各自的任务和目的。在多a g e n t 协作中运用规划识别可以使各 个a g e n t 知道其它a g e n t 的目标和规划，调整和修改自己的规划，更好地完成任务。 4 军事防御系统 战术规划识别在军事防御中尤为重要。它可以识别敌方的目标及规划，也可以阻止 敌方对自己的规划的识别，在发现自己的目标被对方识别时，立即生应对规划来阻碍规 划识别过程。 5 程序理解 程序理解就是从一段源程序来理解这段程序的设计目标和规划，很自然地可以运用 智能规划识别来进行程序理解。规划识别在程序理解中的应用与其他应用最大的区别是 它可以获得所有的动作( 程序代码) 。 6 自动驾驶 在自动驾驶中，a g e n t 必须将自己的规划与其它驾驶员的规划相互协调。这种协调 依赖于对其它驾驶员动作的观察，如车的移动及标志。根据观察到的其它驾驶员的动作 识别出其它驾驶员的规划，然后调整和修改自己的驾驶规划。 7 入侵检测系统 入侵检测系统的主要功能是发现入侵动作并发生警报。没有运用规划识别的入侵检 测系统只能在入侵行为后发生警报，这样用户可能来不及采取措施；而带有规划识别的 入侵检测系统可以根据一些观察到的动作或其他可怀疑的行为进行预测是否有人准备 入侵系统，这样就可以在发生入侵行为之前发生警报，用户可以采取相应的安全措施。 为了提高入侵检测系统能力，国内外已经有很多学者将规划识别理论应用到入侵检 测系统中，本文就是在g e i b 娜1 。“1 等研究基础上，将规划识别理论应用到自动响 应系统中，增强入侵检测系统的响应能力。 第三章规划识别在自动响应系统的应用 3 1 规划识别模型 3 1 1g o l d m a n 和g e i b 嘲规划识别模型介绍 就像其它的规划识别模型一样，g o l d m a n 和g e i b 的规划识别模型也采用了层次( 任 务分解) 结构。它假定a g e n t s 有一个关于问题领域达到目标的完整的规划库。图3 1 是一个层次空间站规划库实例： e - 。r e 。i10 2 - d r 0 1 ) j 、 。 、 i n c t c m - d o w c rr a i s c - - 0 2 - 1 e v e lr a i s e - t e m e 八入八 2 臼 i - d o w c i l o w c r - d o w e r - u s ci o w e r - 0 2 - u s e 4 , e n - 0 2 c h e c k t c m d r 垂t o m b - s e t 金l 瓜i 。台鲥聆 i 。呦主l 1 | h 。幻舣：l o o e n - d 1l 。啪0 2 2 。i 弋等“k 熹ml 弋 图3 1 表格式的层次结构规划库 在图3 1 中，当a g e n t 想要达到一个像增加可用能源( i n c r e a s e p o w e r ) 的目标时， 规划库给a g e n t 提供了可以选择的方法实现。增加可用能源( i n c r e a s e p o w e r ) 要么通 过制造能源( g e n - p o w e r ) 或者通过减少能源消耗( 1 0 w e r - p o w e r - u s e ) 的方法来实现。 为了减少能源消耗，a g e n t 必须要做三个步骤：打开p 2 ，关闭x l ，关闭】( 2 。我们可以把 规划库看作是与或树，其中目标是或结点，而方法是与结点。 在此空间站规划库中包括了三个目标：增加可用能源( i n c r e a s e p o w e r ) ，增加空 气中氧的含量( r a i s e 0 2 一l e v e l ) 和提高温度。其中目标增加可用能源( i n c r e a s e p o w e r ) 和增加空气中氧的含量( r a i s e - 0 2 - 1 e v e l ) 各自有两种方法可以实现：生产更多的能量 ( g e n p o w e r ) ：减少能量消耗( 1 0 w e r - p o w e r - u s e ) ，产生更多的氧气( g e n 一0 2 ) 或减少 氧气消耗( 1 0 w e r 0 2 - u s e ) ，与之相对应，这个库中只有一个方法来实现提高温度 1 2 ( r a i s e t e m p ) 每个方法结点都有一些子结点，这些子结点表示实现这个方法的动作步骤，而且子 结点之间是与的关系。在我们的简单规划库实例中，方法都是由原子动作组成 的：o p e n p l ，s t a r t g e n b ，o p e n p 2 ，s h u t o f f - x l ，s h u t o f f x 2 ，s t a r t 0 2 一g e n ，o p e n - p 3 ，s e a l - s c i ，c h e c k - t e m p ，r a i s e t e m p s e t 这些都是原子动作。通常，方法会引入子目标。 例如在此域中，g e n - 0 2 可能会有以增加能源为子目标，从而代替了o p e n p l 和 s t a r t - g e n b 的两个动作。 在很多例子中，实现方法的动作必须按照一定的顺序来来执行。顺序约束在图中是 用带方向的箭头来表示的。例如，为了实现l o w e r - p o w e r u s e 这个目标，动作o p e n - p 2 必须在s h u t o f f - x l 和s h u t o f f - x 2 之前执行。另外，a g e n t 仍然有选择动作执行顺序的 自由。 动作可能不只只为一个目标来执行，如，o p e n p 1 和s t a r t g e n b 在目标g e n p o w e r 和g e n - 0 2 中都要用到。 还有，在图中有两个不同的条件事件指向