当SIEM学会“看人下菜碟”：行为基线与智能研判

安全运营的困境：当固定规则遇上动态威胁

安全运营团队每天都在面对一个熟悉的困境：告警如潮水般涌来，重复信息、误报与真正需要关注的风险混杂在一起。更棘手的是，传统的固定规则检测正在暴露结构性缺陷。

误报困境：销售或项目接口人日常需要频繁向客户发送带附件的邮件。若规则设定为“外部邮箱+附件即告警”，大量正常业务行为会被误标为风险，严重干扰运营视线。
漏报盲区：研发人员平时几乎不外发邮件，某日突然外发带代码或技术文档的附件。从绝对数量看，该行为可能触发不了静态规则的阈值；但结合个人历史行为基线，这已是极度异常。
本质问题：固定规则“只管命中、不看上下文”，无法结合人员岗位、历史基线、行为上下文进行动态判断。当内部风险与外部未知威胁交织，传统手段往往顾此失彼。

日志易SIEM围绕“智能、协同、可视、高效”四大核心理念，深度融合AI与SOAR技术，打造一体化、可闭环的安全运营中枢。其中，检测规则+动态基线+智能研判的协同模式，正是应对上述挑战的核心方案。

四层协同机制：从“告警疲劳”到“精准聚焦”

① 行为基线构建 → 历史画像

② 当日异常筛查 → 离群检测

③ 新行为识别 → 语义匹配

④ AI智能研判 → 定性输出

技术实现：三大核心能力

1. 全量历史数据拉取与动态基线构建

基线构建的核心思路是为每个账户建立历史行为画像，而非对所有用户套用统一阈值。

通过日志易自研SPL（Search Processing Language）高效拉取全量历史行为数据。以DLP场景为例，排除压缩、下载等常见噪声行为后，提取方向、协议、部门、用户、文件类型等多维特征。对关键字段进行归一化语义处理，生成唯一MD5指纹，同时计算历史均值、日均频次、最后活跃时间等统计量，默认以7天数据作为基线。

基线规则支持版本回溯，配置变更可追溯、可回滚，保障策略调整的安全可控。同时结合资产暴露面信息，自动关联业务系统上下文，为基线计算提供更精准的组织维度。

2. 孤立森林算法与智能离群检测

当日行为筛查环节，系统提取当日日志，进行同样的多维特征提取与归一化语义处理，生成MD5后与基线库进行白名单匹配。

关键创新在于引入孤立森林（Isolation Forest）算法进行智能离群检测：

算法逻辑：通过随机分割数据空间，计算样本被孤立所需的平均路径长度。路径越短，异常概率越高。
工程价值：无需人工枚举成百上千条规则，对未知漏洞或高风险行为具有极高检出率，直接输出量化离群评分。
多维标记：基于评分结果，自动标记“高危离群全集”、“新行为”、“个人画像突变”等风险类型。‌‌

3. AI智能研判：可解释的风险结论

若当日生成的MD5指纹与基线库匹配失败，则判定为新行为。系统结合离群得分、激增倍数、敏感度等维度，调用AI接口进行深度研判。

平台提供多维研判能力：

五类风险标签：告警调用Workflow进行智能研判，输出“恶意、可疑、正常、不确定、忽略”五类标签，辅助分级处置。

推理过程透明化：AI智能分析以通用格式或Markdown完整展示推理过程，确保研判逻辑透明可审计。

‌三维解释框架：

AI助手对话式交互

支持自定义智能体行为，通过调用脚本或剧本执行自动化任务；
对话中输入@剧本、@workflow、@chatflow即可触发相应流程，执行结果实时回显；
支持全局唤起，任意页面均可快速调用；
对话框内支持切换不同LLM（通义千问、DeepSeek、Azure OpenAI），灵活适配多场景语义理解需求。

最终，风险定性结论与标准化处置建议通过安全日报、飞书实时推送等多渠道闭环输出。

人机协同：自动化与可控性的平衡

SOAR剧本支持人工审核节点插入，自动触发通知，审核人点击即可直达页面完成确认，实现自动化流程中的人工确认闭环。同时提供剧本运行状态监控，实时展示“当前执行任务数”与“运行中任务数”，保障自动化流程的可观测性。人机协同边界设计：

AI止步于“建议与初步定性”：AI擅长处理海量关联数据，基于孤立森林得分与激增倍数快速梳理事件脉络，判断风险等级。
人工保留“执行决策权”：账号冻结、网络阻断等动作，需人工结合线下真实业务场景最终裁定。
风险分级授权：高置信度、低误报场景可授权系统自动流转；高风险动作保持人机协同，由AI明确方向、人工确认执行。

与传统模式的对比

结语

日志易SIEM以自研日志搜索引擎Beaver为底座，通过日志易SPL实现灵活的数据处理，以孤立森林算法突破规则枚举的局限，以AI研判实现从“数据”到“结论”的跨越——最终帮助安全团队从告警疲劳中解脱，将精力聚焦于真正的高优先级风险。

技术价值，终究要回归到人的效率提升。