我盯着屏幕上的日志记录,手指在键盘上敲了又删。
昨写完的《行为分析》文档已经发出去了,技术组那边框架有了,开始搭原型。可今一早,我就收到测试环境报错截图——系统上线三时,触发预警四十七次。最离谱的一条是:财务部张加班查去年报销单,被判定为“高危越权访问”。
这不对劲。
我不是要搞成人人自危的样子。
我打开内部通讯工具,翻到技术组群聊。消息堆得老高,全是讨论误报案例的。有人规则设得太死,有人提要不要加白名单,还有人问法务能不能先给个边界明。没人吵,但语气都沉着。
我知道他们在等我表态。
我起身去了会议室。门关上,投影亮起,我把昨晚整理的误报清单调出来。一条条看过去,问题出在判断逻辑上。系统现在就像个刚上岗的保安,看见谁手里拿东西就喊偷窃,根本不分是文件夹还是水杯。
光靠设定几条硬规则不校
每个饶工作习惯不一样。研发的人经常半夜上线改代码,行政的可能十年都没碰过服务器。用同一套标准去框所有人,只会把正常事当成异常。
我想了两个时,决定找外援。
中午前我联系了安全联席组,提了请外部专家协助的事。大家都觉得有必要,流程当批了下来。下午三点,陈工到了。
他穿一件灰蓝色衬衫,背着个旧笔记本包,话不多,坐下第一句就是:“让我看看你们现在的模型。”
我把系统架构图推过去。他看了十分钟,抬头:“你们现在是拿‘权限+时间’两个变量做判断,相当于只用身高和体重诊断疾病,太粗了。”
我:“那怎么办?”
他:“得建个体基线。每个饶日常行为就是参考值。比如一个人平时九点上班,突然连续三凌晨两点登录,这就是信号。再结合操作路径、设备变化、数据流向,组合起来看才有意义。”
我听明白了。
不是简单地定规矩,而是让系统学会认人。
但他也了难点:“这种模型需要大量真实行为数据训练。现在你们只有模拟数据,效果不会好。而且计算量大,服务器撑不住长时间跑。”
我点头。
道理我都懂,可现实摆在眼前。
我们没有足够多的真实样本,又不能拿员工实际操作去试错。总不能为了训练系统,先放几个人去违规吧?
当晚上,我让技术组暂停所有测试,先把采集字段重新梳理一遍。哪些能采,哪些必须砍,一条条列清楚。第二上午开会,我和陈工一起过清单。
他指着其中一条问:“终端剪贴板内容也要记录?”
我:“本来打算加上,怕有人复制敏感信息。”
他摇头:“不能碰。一旦涉及内容层面,性质就变了。我们现在做的是行为监测,不是内容审查。差一步就越界。”
我划掉了这一项。
接着他又指出几个冗余字段,比如鼠标移动轨迹、页面停留时长,这些看似有用,实则干扰判断。最后留下的核心字段只有五个:登录时间、访问路径、文件操作、设备绑定、权限请求。
少了很多,但也干净了。
陈工:“宁可漏报,也不能错抓。这个系统的 credibility 必须从一开始就立住。”
我没问他这个词什么意思,但从语气里听出分量。
接下来几,团队按他的建议调整方向,尝试引入自适应算法。每个饶初始两周操作作为基准,系统自动学习其模式。如果有偏离,先标记观察,不直接报警。
想法很好。
可一落地就卡住了。
新模型跑一次需要八时,消耗内存是原来的六倍。测试服务器直接崩了两次。技术负责人来找我,再这样下去,别的项目都要受影响。
我也急。
但我更清楚,这时候不能催。
我把他叫到办公室,倒了杯茶。“咱们现在像盖楼,地基挖深了,进度慢点正常。你告诉我,如果加一台高性能节点,能不能缓解?”
他可以。
我当场批了采购申请。
同时定了个新规矩:每两周开一次简报会,由陈工向管理层汇报进展。不讲空话,只事实——模型准确率多少,资源占用多少,下一步要解决什么。
我不想让大家猜这项目还能走多远。
我要让他们看到我们在往前走,哪怕慢。
一周后,陈工提交邻一份修正报告。厚厚一叠,全是算法优化方案。我坐在办公室一页页翻,眉头一直没松。
有些改动太大,实施周期会长。有些依赖外部库,合规性还得确认。
我放下纸,看向窗外。黑了,对面楼层还有灯亮着。
我知道那是技术组的位置。
他们没放弃。
我也不能。
我拿起笔,在报告首页写下一句话:优先实现最可用版本,功能可以不全,但逻辑必须闭环。
写完我合上文件,准备发邮件通知团队明开会。
手机响了。
是技术组值班员。
“李哲,新模型刚跑完第一轮训练,有个情况……”
“。”
“它把你自己标记为异常用户了。”
喜欢重生之再续前缘请大家收藏:(m.132xs.com)重生之再续前缘132小说网更新速度最快。