拿来就能用！如何用 AI 算法提高安全运维效率？ | 技术头条(16)_作者|黄龙责编|伍杏玲在整个安全工作中

但是在复杂的互联网环境和云环境，如果我们仔细分析日志，还是会发现有不少漏过的情况。

正如我们前面提到的，除了Payload搜集和简单关键字提取外，常见的做法就是可疑请求打标。简单来讲就是将所有已经拦截过的请求的IP ，在一定时间需求内的请求都打上可疑的标签，当然IP维度还可以包含一些威胁情报的扫描IP ，或者是全量日志直接分析。这里，我们的目的就是从这些可疑或者全量日志中，提取出特定的攻击日志，以降低我们的人工分析量。

具体实例——XSS攻击日志挖掘很多时候我们想提升我们WAF的拦截效果，降低漏报，就需要对日志进行分析和攻击行为提取，并转换为拦截规则。前面我们已经讲了使用K-Means可以帮助我们进行分类的方法，这里我们换一个思路，我们针对XSS这个类型的漏报日志进行提取。算法实践 1、样本搜集在WAF的运维期间，已经搜集了很多XSS攻击的Payload和日志，这里我们再整理一些正常的请求日志。这样我们就已经有了正样本和负样本，可以尝试通过监督度学习，从请求日志中挖掘我们的漏网之鱼。 2、特征提取因为需要发现XSS攻击，所以我们首先需要简单地梳理一下XSS Payload的特征， XSS攻击通常如下：