Hayabusa项目中Sigma关联规则的事件计数功能实现分析

引言

在安全信息与事件管理(SIEM)领域，Sigma作为一种通用的日志检测规则格式，其关联规则功能对于复杂威胁检测具有重要意义。本文将深入分析Hayabusa项目中实现Sigma关联规则的事件计数(event_count)功能的技术细节与实现思路。

Sigma关联规则概述

Sigma关联规则允许安全分析师定义基于多个事件或特定条件的复杂检测场景。事件计数类型(event_count)是最基础的关联规则之一，它检测在特定时间窗口内，符合特定条件的事件发生次数是否达到阈值。

典型的事件计数规则包含以下关键元素：

• 关联类型(type): 指定为event_count
• 关联规则(rules): 引用需要监测的基础规则ID或名称
• 分组字段(group-by): 指定用于分组统计的字段
• 时间窗口(timespan): 定义统计的时间范围
• 条件(condition): 设置触发警报的阈值条件

技术实现分析

现有架构基础

Hayabusa项目现有的规则处理架构已经具备部分相关功能组件：

1. 规则节点结构(RuleNode): 包含规则的基本信息和检测逻辑
2. 检测节点(DetectionNode): 处理具体的检测条件
3. 选择节点(SelectionNode): 实现字段匹配逻辑
4. 聚合解析器(AggregationParseInfo): 处理计数和分组逻辑
5. 时间帧信息(TimeFrameInfo): 管理时间窗口设置

实现路径设计

实现事件计数关联规则需要考虑以下技术要点：

1. 规则解析流程重构:

   • 需要分离常规规则和关联规则的解析过程
   • 先解析基础规则，再处理关联规则引用

2. 关联规则编译:

   • 设计compile_correlation_rule函数处理关联规则YAML定义
   • 实现merge_related_rules函数合并引用的基础规则条件

3. 条件组合逻辑:

   • 使用OrSelectionNode组合多个基础规则的条件
   • 将关联规则参数映射到AggregationParseInfo结构

4. 错误处理机制:

   • 处理基础规则不存在的情况
   • 验证关联规则格式的有效性
   • 限制初始版本功能范围以降低复杂度

核心算法逻辑

事件计数关联规则的实现本质上可以转换为以下处理流程：

1. 收集所有引用的基础规则的选择条件
2. 将这些条件用OR逻辑组合
3. 添加基于group-by字段的分组计数逻辑
4. 应用timespan定义的时间窗口限制
5. 根据condition设置阈值比较条件

实现挑战与解决方案

多规则引用处理

初始实现可能仅支持单个基础规则引用，但完整功能需要支持多个规则的条件组合。解决方案是构建逻辑OR条件树，将多个规则的选择条件合并。

分组字段支持

group-by可能包含多个字段，需要扩展现有的分组计数逻辑，支持复合键的分组统计。这要求修改聚合处理逻辑，支持基于多个字段的哈希计算。

规则引用解析

规则可能通过ID或name引用，需要建立规则索引机制，支持两种引用方式的快速查找。可以在规则加载阶段构建哈希表实现高效查询。

时间窗口处理

现有timeframe功能可以直接复用于timespan参数，但需要确保时间窗口的计算精度和性能不影响整体检测效率。

未来扩展方向

1. 递归关联支持: 允许关联规则引用其他关联规则
2. 多规则文件处理: 支持单个文件中定义多个关联规则
3. 其他关联类型: 实现value_count等更复杂的关联检测
4. 性能优化: 针对大规模日志的关联检测优化

结论

Hayabusa项目实现Sigma关联规则的事件计数功能，不仅增强了其复杂威胁检测能力，也为后续更高级的关联分析功能奠定了基础。通过合理设计架构和分阶段实现，可以在保证系统稳定性的同时逐步完善这一重要功能。