Wazuh规则引擎中频率匹配与差异字段检测机制深度解析

一、频率匹配机制的核心原理

Wazuh规则引擎的频率匹配机制（frequency）是安全事件分析的重要功能组件。其核心逻辑在于对特定事件在指定时间窗口（timeframe）内出现次数的统计判断。当事件发生次数达到预设阈值时触发告警，这是构建复杂检测策略的基础。

典型应用场景包括：

• 多次认证失败检测
• 端口扫描行为识别（短时间内多端口访问）
• 异常进程创建监控（高频次相同进程启动）

二、差异字段检测的技术实现

差异字段检测（different_field）是Wazuh提供的进阶规则条件，其工作流程包含三个关键环节：

1. 字段提取阶段：通过预定义的decoder规则从原始日志中提取目标字段
2. 历史比对阶段：将当前事件字段值与历史记录进行差异比较
3. 触发判定阶段：当差异比较满足预设条件时生成告警

技术实现特点：

• 采用滑动窗口算法管理历史事件
• 仅执行当前事件与历史事件的单向比对
• 触发后自动清空相关历史记录防止误报

三、典型配置示例分析

基础解码器配置

<decoder name="network_alert">
  <prematch>^alert: </prematch>
  <regex offset="after_prematch">(\S+)</regex>
  <order>dip</order>
</decoder>

复合检测规则

<rule id="100002" level="5" timeframe="300" frequency="4">
  <if_matched_sid>100001</if_matched_sid>
  <different_field>dip</different_field>
  <description>多目标IP攻击检测</description>
</rule>

检测逻辑说明

当出现以下事件序列时：

1. alert: 192.168.1.1
2. alert: 192.168.1.1
3. alert: 192.168.1.1
4. alert: 192.168.1.2

规则触发条件成立，因为：

• 事件4的dip(192.168.1.2)与事件1-3的dip均不同
• 差异比较次数(3次) ≥ 预设frequency(4)-1

四、工程实践建议

1. 时间窗口优化：根据业务场景调整timeframe参数

   • 网络攻击检测建议设置60-120秒
   • 渗透行为检测建议设置300-600秒

2. 阈值设定原则：

   推荐frequency = 平均正常访问频次 × 安全系数(建议2-3)
   

3. 调试技巧：

   • 先设置较低告警级别测试规则有效性
   • 使用wazuh-logtest工具进行规则验证
   • 通过/var/ossec/logs/alerts/alerts.log查看原始比对数据

五、高级应用场景

1. 多字段组合检测：

   <different_field>dip,user</different_field>
   

2. 白名单集成： 结合CDB列表实现例外管理

3. 关联分析： 将差异检测与其他规则条件组合构建复杂攻击场景检测

理解这些核心机制可以帮助安全工程师更精准地配置Wazuh检测规则，在降低误报率的同时提升威胁检出能力。实际部署时建议结合网络环境特点进行参数调优，并通过SIEM系统进行告警关联分析。