Sigma项目中的HTTP异常检测：基于Go-http-client/1.1的统计型规则设计

背景与需求场景

在网络流量监控中，异常行为检测往往需要结合统计特征进行分析。一个典型案例是识别使用特定HTTP User-Agent（如Go-http-client/1.1）对大量目标IP发起扫描的行为。这类检测通常需要满足两个核心条件：

1. 匹配特定的请求特征（固定User-Agent）
2. 统计源IP在特定时间窗口内访问的目标IP数量阈值

传统SIEM查询虽然可以实现这类检测，但缺乏标准化表达方式，难以实现跨平台规则共享。这正是Sigma规则库要解决的关键问题。

Sigma的关联规则能力

Sigma项目最新引入的关联规则（Correlation Rule）特性，为统计型检测提供了标准化支持。其核心机制是通过correlation字段定义事件间的关联逻辑，主要支持两种模式：

1. 事件计数（event_count）
   统计符合条件的事件数量，适用于检测高频访问行为
2. 时序关联（temporal）
   分析事件的时间序列特征，适用于检测有特定时间模式的行为

以Go-http-client检测为例，可采用event_count类型规则，其逻辑结构包含：

• 基础检测条件：http_user_agent: "Go-http-client/1.1"
• 统计维度：按源IP（id.orig_h）分组
• 阈值条件：访问目标IP数（id.resp_h）>1000

技术实现要点

1. 字段映射兼容性
   需确保日志中的字段命名与规则定义一致，例如：

   • Zeek日志中的id.orig_h对应源IP
   • id.resp_h对应目标IP

2. 阈值动态调整
   实际部署时应考虑：

   • 网络规模（企业内网/云环境）
   • 业务特性（是否包含爬虫类业务）
   • 时段特征（工作日/节假日流量差异）

3. 多维度关联
   可扩展为复合条件检测，例如同时满足：

   • 高频访问（目标IP数>1000）
   • 异常响应码比例（如5xx错误率>30%）

实施建议

1. 分阶段部署
   建议先以较高阈值运行，观察误报情况后逐步调优

2. 告警丰富化
   关联其他上下文信息：

   • 源IP的地理位置
   • 历史行为基线
   • 目标服务的敏感等级

3. 响应预案
   典型处置措施包括：

   • 临时封禁可疑IP
   • 请求详情抓包分析
   • 与威胁情报库比对

未来演进方向

随着Sigma关联规则的成熟，预期将在以下场景深化应用：

• 分布式扫描行为识别（多源IP协同检测）
• 慢速攻击检测（长周期统计特征）
• 业务逻辑滥用（如API参数异常组合）

统计型规则将极大增强Sigma在高级威胁检测方面的能力，值得安全团队持续关注和实践。