在人工智能领域经典规划识别方法的基础上,针对网络攻防领域攻击规划识别问题的特性,对目标规划图进行进一步扩充,引入观察节点以区分规划者动作以及识别者对动作的观察,将动作节点分化为由具体动作层和抽象动作层组成的层次结构,并根据抽象攻击模式在抽象攻击层面上维护与安全状态节点的前提和后果条件,形成扩展目标规划图(ExtendedGoalGraph,EGG)模型;并进一步提出基于扩展目标规划图的攻击规划识别算法,该算法能够有效地从大量底层入侵报警信息中正确识别背后蕴藏的攻击者意图及规划.通过DARPA2000入侵场景关联评测数据集和在蜜网环境中捕获的实际僵尸网络攻击场景数据的实验测试以及与TIAA入侵报警关联分析系统[5]的实验结果对比,验证了该文提出算法的完备性与有效性.