传统规则引擎大多都是基于专家经验设定，不仅严重依赖专家经验，而且庞大的规则库难以维护，同时对于未知的高级攻击也成效甚微。基于以上痛点，我们可利用算法模型在不同攻防场景向运营人员智能推荐不同规则，并随着时间推移和攻防的升级智能迭代规则策略，打造智能规则引擎。

利用智能规则学习算法，不仅解决了运营人员不知道怎么配置规则的问题；也能大幅降低运营人员在根据风险定制规则和维护规则库上的时间成本

基于AI算法的智能风险运营

智能风险运营的建模流程是首先要基于智能风险感知流程产出的风险，进行推理、洞察、降噪、推送、分级等风险处置后，根据优先级对风险进行智能解释。

风险处置

很多种不同攻击方式会触发大量事件级别异常告警，形成风险风暴，例如登录爆破、资产扫描、漏洞扫描、数据爬虫等；因此我们可以通过异常检测算法进行风险风暴的检测，并用算法（例如聚类）进行风险的分类。

在分类完成后，利用算法先进行风险的分级，然后根据分级结果对一个类别中的核心风险（例如聚类核心）进行推送，以提升运营效率。

风险解释

传统的风险异常是基于安全运营专家的经验进行解释，但是这种方式不仅极度依赖人为经验，而且费时费力。因此设计一系列根因分析算法为各种风险类型提供解释，对安全运营者进行风险分析大有帮助。

shap机器学习解释性

shap算法的核心思想是计算特征对模型输出的贡献，再从局部和全局两个层面对算法模型进行解释。简单来说就是shap算法基于统计原理去衡量特征对模型输出的贡献。如图所示，我们利用shap算法发现某个风险ip主要是UA类型和访问去重数据量过多导致出现了风险告警。

多维下钻分析

多维下钻算法的原理是当出现异常能够从多个维度（例如UA类型，地理位置，设备型号等等）下钻的快速精准根因定位。如图所示，是用根因分析算法快速定位到的某政企部分内网IP在2022年6月1号凌晨1点-2点突然对某敏感数据接口发起大量访问获利。

• 如何在大量风险告警中快速定位真实风险并精准解释是安全攻防场景绕不开的问题，应用算法进行风险分类分级，并进行根因定位对安全运营大有帮助。
• 由于数据安全领域难以获得数据标注，以及黑客、黑灰产攻击手段不断进阶升级，知识图谱、迁移学习、强化学习等等前沿领域在数据安全领域大有用武之地。