Hayabusa项目中的有序时间邻近关联规则实现解析

在安全分析领域，事件之间的时序关系往往蕴含着重要的攻击特征。Yamato-Security团队近期在Hayabusa项目中实现了对Sigma规范中有序时间邻近关联（temporal_ordered correlation）的支持，这一功能能够精确捕捉安全事件之间的先后顺序模式。

技术背景

传统的时间邻近关联（temporal correlation）仅关注事件是否在指定时间窗口内共同出现，而有序时间邻近关联则进一步要求事件必须按照特定顺序发生。这种增强型关联方式特别适合检测如"失败登录后成功登录"这类具有明确先后顺序的攻击模式。

实现原理

Hayabusa通过解析Sigma规则中的correlation字段实现该功能。关键参数包括：

• type: temporal_ordered 声明使用有序时间邻近关联
• rules数组定义必须按顺序匹配的规则序列
• group-by指定分组字段
• timespan设置时间窗口大小

典型应用场景

以"密码喷洒攻击"检测为例：

1. 首先检测到多次失败登录（many_failed_logins）
2. 随后在短时间内出现成功登录（successful_login）

这种有序模式比简单的"失败+成功"组合更能准确反映真实攻击行为。测试数据显示，当规则顺序为[many_failed_logins, successful_login]时能正确触发告警，而反向顺序则不会产生告警。

技术实现细节

项目采用事件流处理机制，维护一个时间滑动窗口内的状态机。对于每个分组（如按Computer和TargetUserName分组），系统会：

1. 记录第一个规则匹配事件的时间戳
2. 在时间窗口内寻找后续规则的匹配事件
3. 验证事件顺序是否符合规则定义
4. 仅当完整序列按序出现时才生成告警

实际价值

这种有序关联检测显著降低了误报率，特别是在以下场景：

• 区分正常登录后的失败尝试（如用户输错密码）
• 识别真正的密码猜测行为
• 检测横向移动中的凭证使用模式

该功能的实现使Hayabusa在行为分析方面达到了新的精度水平，为安全团队提供了更可靠的检测能力。未来版本可能会在此基础上扩展更复杂的事件序列模式识别功能。