近年来存储与计算能力出现的爆发式增长让人们相比以往能够更全面、更实时的获取信息数据。提供更便捷、高效的服务的同时也生成了数量庞大的数据信息。将海量数据转化为业务需求的极高的困难性,对各个领域造成巨大的冲击性。在安全领域更是带来更大的变革,传统的网络安全防护需要依靠安全专家自身知识领域的广度与深度。但随着安全漏洞层出不穷、攻击利用方式多种多样,依赖于专业人才的安全防护方式已经不能满足需求,人们开始着眼于使用自动化的方式来解决问题。因此,使用人工智能进行安全防护成为新的热点。文章的研究内容为规划识别下的入侵检测方法,主要从以下几个方面进行研究:首先,传统的机器学习方法按照有无危险操作进行划分,一般的常见标记为正常(normal)或异常(attack),这种方式对已知类型的入侵攻击具有较好的识别能力,但缺乏对误导动作的处理能力。对于这一方面的缺陷,文章使用规划识别算法,结合隐马尔可夫网络,在原有方法的基础上新增隐藏节点的概念,通过可观察行为与隐藏目的之间的转换关系,降低不确定性在关联关系分析中造成的影响,借此提高对误导动作的处理能力。其次,文章提出多智能体协作分析的规划识别方法—PIMCA方法。该方法针对数据结构较为复杂的入侵行为,预先使用词袋模型与TF-IDF模型对数据做特征提取,该方法设计多层Agent并行协作,对初始输入的复杂数据特征进行逐层抽象,即每一层抽象的特征属性作为下一层的输入。在每一层Agent进行特征抽象的同时,为各层输出添加激活函数以防止简单的线性连接在实际环境中识别效果不佳。最后将该方法在垃圾邮件的相关数据集Enron-Spam中进行验证,结果表明在输入数据相对复杂的情况下,该方法依旧拥有较好的识别性能且计算效率较好。最后在多个数据集中,选择了较为经典的Schonlau数据集对提出的算法进行实用性验证。通过与其他方法的对比,文章中提出的规划识别方法有效的提高了识别效果,并且在恶意行为检测等场景中有较好的使用效果。