拿来就能用！如何用 AI 算法提高安全运维效率？ | 技术头条(11)_作者|黄龙责编|伍杏玲在整个安全工作中

通过日志分析发现异常用户

背景介绍日志分析和审计在安全运维工作中经常遇到，这里我们考虑一个很简单的日志审计需求：有一个业务，提供了敏感接口的访问日志，需要安全工程师发现哪些人有问题。针对这类问题，目前比较常见的分析方式主要是基于统计方式，最常见的就是频次统计，比如每个员工的访问阈值是100次/天，当超过了100次我们就报警。这类的分析统计实现是比较简单的，通过时间窗口来实现。这里，为了展示方便，我选取了一个访问量小的业务，用其中一个功能的访问日志做说明。简单分析日志记录的主要信息是：谁在什么时间，在什么地点，对谁做了什么事情？这里面，每一个维度可以单独分析，同时也可以联合分析，很多时候结果完全依赖于运营人员的经验或者是系统的规则。通常情况下，我们分析的维度包括：

频率：单个用户在一段时间范围内的行为超过了某个阈值；

时域：在特定的时间做这件事情，如在凌晨3点，下载了3份文件；

地点：通常情况是IP ，这里可以和威胁情报做Join ，也可以根据业务做分析，比如是员工通过一台美国的服务器访问了xx系统；