随着全球一体化时代的到来,网络的便捷性与普遍性使得其本身成为恶意软件与网络空间犯罪滋生的场地。国家互联网应急中心在《2015年中国互联网网络安全年报》中指出DDoS、APT等复合攻击已经成为攻击主流。网络攻击日渐呈现隐蔽性更高、持续时间更长、影响范围更广的趋势。在攻击完成之前采取响应措施来防御攻击显得尤为重要。网络空间中的攻击行为往往不是一蹴而就的孤立行为,而是多阶段性的复杂攻击。对网络攻击的检测,特别是复合攻击的检测是发现和理解安全威胁的关键技术。本论文从复合攻击角度出发,运用交叉学科的思想将机器学习的方法应用到网络安全领域对网络入侵意图识别进行研究,旨在研究复合攻击实施过程中攻击事件与攻击意图的可信度的变化,感知攻击演化和发展态势,感知攻击实施阶段,挖掘攻击初期与攻击尾声的因果联系。主要研究工作如下:1.针对IDS报警信息弱语义及联系弱的问题,设计了一种重建攻击场景方法。首先,将报警事件去冗余、标准化得到超级报警信息;其次,根据报警事件发生时间与IP地址对报警信息进行聚类,得到超级报警类簇,并基于其发生时间关系,使用时间序列算法得到有效攻击序列。综合考虑场景部分缺失与场景的独立性,引入隐马尔可夫模型,利用概率推算最大可能性攻击场景。2.针对HMM无法进行概率推理,提出基于隐马概率推理的入侵意图识别模型,旨在利用概率推理优化隐马尔可夫单一输出问题,进而报送多个攻击意图及预测未来可能发生的攻击。首先,设计转换规则将HMM模型转换为贝叶斯网络。其次,使用带环置信度传播算法,根据实时到达的攻击证据,对网络中每个节点的置信度进行推算,得到当前可能攻击意图及预测下一阶段攻击。最后,结合DARPA2000 LLDOS1.0公开数据集,进行实验验证。实验表明,本论文优化的模型和算法有效运用了复合攻击中突出的时序关系和概率关系,可以从更为宏观的层面上理解复合攻击发展阶段,对恶意攻击进行提前预警,为网络安全态势感知和网络防御启动提供了有效依据。