拿来就能用！如何用 AI 算法提高安全运维效率？ | 技术头条( 九 )_作者|黄龙责编|伍杏玲在整个安全工作中

面临的问题

当下，安全运维工作有两个重要指标：效果和效率。前面我们提到安全运维工程师需要进行安全分析，随着现在业务的快速发展和技术栈复杂度的提升，工程师每天面对的是海量的数据，很多时候的工作可能都是大海捞针，工程师面对海量的日志数据，如何快速地定位问题，以及如何挖掘出更多的安全风险都是急需解决的问题。安全工程师在运维安全产品的时候，需要通过自身的能力来提升一些安全产品的效果，如降低WAF的漏报情况，安全运维人员或多或少都做过以下一些工作：比较简单的做法可能就是不停的搜集各种攻击的Payload ，进行攻击测试；除了搜集Payload外，深入一点的做法一般是通过梳理关键字/特征从ES或者HDFS提取疑似攻击日志，进行人工分析；随着大数据平台和威胁情报的发展，再进一步的方式会考虑将已经发现攻击的IP和威胁情报的扫描IP的对应的请求进行梳理，进行二次分析；比较理想的做法是对全量日志进行分析，提取攻击行为日志，根据日志提取特征。这里我们会发现，随着日志量的越来越大，依赖人肉分析大量数据是不现实的。虽然抽样分析和正则或规则匹配也是一种折中方案，但是会存在一定的遗漏风险。这个时候，我们需要通过一些更优的方案和工具，能够快速高效地从海量数据中发现更多未知的问题，而机器学习很可能就是我们的答案。