Hayabusa项目中聚合条件规则计数显示问题的技术分析

问题背景

在Hayabusa日志分析工具中，当使用聚合条件规则（如密码猜测攻击检测）时，系统能够正确识别并输出聚合结果，但在统计摘要部分（如"Events with hits"和"Top 5 computers"）却未能正确显示这些聚合规则的匹配计数。这一问题影响了用户对检测结果的全面理解，特别是在需要快速评估安全事件规模时。

技术原理

Hayabusa的检测引擎采用多层次的规则处理架构：

1. 规则匹配层：负责解析和匹配单个事件记录
2. 聚合处理层：对符合特定条件的事件进行计数和统计分析
3. 结果输出层：生成最终的可视化报告和统计摘要

在当前的实现中，聚合规则（如Sec_4625_Med_LogonFail_WrongPW_PW-Guessing_Cnt）能够正确执行计数逻辑，并将聚合结果显示在时间线输出中。然而，这些聚合结果在后续的统计摘要生成阶段被遗漏。

问题根源

通过分析代码结构，我们发现问题的核心在于：

1. 数据结构设计：当前的DetectInfo结构体没有专门为聚合结果设计字段，导致聚合信息在传递过程中丢失
2. 统计逻辑：摘要统计模块仅处理基础检测信息，未考虑聚合规则的特殊性
3. 生命周期管理：聚合结果的生命周期未完整覆盖到统计摘要生成阶段

解决方案

为解决这一问题，我们建议进行以下架构改进：

1. 数据结构扩展：

pub struct AggResult {
    pub data: i64,          // 聚合计数值
    pub key: String,        // 分组键值
    pub field_values: Vec<String>, // 字段值集合
    pub id_time_pair: Vec<(String, DateTime<Utc>)> // 事件ID和时间戳
}

pub struct DetectInfo {
    // 原有字段...
    pub agg_result: Option<AggResult>, // 新增聚合结果字段
}

2. 统计逻辑增强：

• 在结果汇总阶段增加对agg_result字段的处理
• 确保聚合计数能够参与"Events with hits"等统计计算
• 完善计算机名等关键信息的提取逻辑

3. 性能考量：

• 聚合结果可能包含大量数据，需注意内存管理
• 考虑对高频聚合规则进行优化处理

实现影响

这一改进将带来以下积极影响：

1. 功能完整性：用户能够全面了解所有检测结果，包括聚合规则匹配
2. 数据分析能力：安全团队可以更准确地评估攻击规模和模式
3. 用户体验：统计摘要更真实反映实际检测情况

最佳实践建议

对于使用Hayabusa的安全分析人员，在处理聚合规则时应注意：

1. 同时查看时间线输出和统计摘要，以获得完整信息
2. 对于关键聚合规则，可考虑单独运行并分析结果
3. 关注聚合计数与原始事件数量的关系，评估攻击严重性

这一改进已纳入Hayabusa的后续版本计划，将显著提升工具在复杂威胁检测场景下的实用性。