來自新加坡和中國的學者找到了一種讓AI服務於網路安全防禦的新方法——他們開發出一種技術,能夠將不同安全資訊與事件管理系統(SIEM)的規則相互轉換,從而讓這些規則可以在多個系統中通用。
SIEM系統從多種來源收集日誌文件,並允許用戶設置規則以觸發警報,供安全運營中心(SOC)判斷是否存在安全事件。"不可能行程"檢測是一種常見的SIEM規則場景——即同一用戶在一小時內分別從紐約和倫敦登錄,這往往意味著賬號憑證被盜或存在其他異常行為。
許多企業最終會同時使用多套SIEM系統,這給安全運營中心帶來了極大的複雜性。
為此,新加坡國立大學與中國復旦大學的研究人員聯合發表了一篇題為《ARuleCon:智能體安全規則轉換》的論文,詳細介紹了他們開發的一種規則轉換技術,使規則能夠在多個SIEM系統之間通用。
論文第一作者徐明告訴《The Register》,她和同事開發ARuleCon的原因在於:各家SIEM系統使用各自特定的規則Schema,導致在一個SIEM中創建的規則無法在另一個系統中使用。雖然部分廠商提供了轉換工具,但支持的範圍十分有限——例如微軟的工具只能將Splunk規則轉換為旗下Sentinel SIEM的格式,無法處理其他系統。
論文指出:"由安全專家手動完成規則轉換不僅效率低下,還會帶來繁重的工作負擔。"
Sigma框架等工具旨在幫助跨平台管理和共享規則,但徐明及其合著者認為,這些現有工具在處理複雜或相互關聯的規則時表現不佳。
既然是2026年,嘗試用大語言模型來轉換SIEM規則似乎是順理成章的想法。然而,研究人員指出,這種方法"通常準確率較低,且缺乏對特定廠商規範的正確支持",原因在於訓練大語言模型所用的數據中,涉及SIEM規則Schema的內容嚴重不足。
論文進一步指出:"這些不足之處呼喚一個可擴展、廠商中立、可靠的SIEM規則轉換框架,既能保留現有規則的價值,又能減輕SOC的工作負擔。"隨後,論文詳細說明了ARuleCon的實現方式:通過"智能體RAG(檢索增強生成)流水線檢索權威的官方廠商文檔,以解決轉換過程中的規範與Schema不匹配問題,並藉助基於Python的一致性檢查機制,在受控測試環境中同時運行源規則與目標規則,從而規避細微的語義偏移。"
簡而言之,研究團隊開發出一套智能體技術,能夠對Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle和RSA NetWitness所創建的SIEM規則進行相互轉換。儘管並非所有轉換結果都盡善盡美,但ARuleCon能夠將各SIEM廠商的專有規則格式轉換至多個競爭平台,且準確率高於通用大語言模型。
ARuleCon因此使得從一個SIEM導出規則並在另一個系統中使用成為可能。
徐明表示,她希望這一工具能夠幫助企業評估和規劃SIEM整合或遷移方案,讓安全運營中心更專注於識別真正的安全威脅信號,而不再為多套系統產生的重複警報所困擾。
Q&A
Q1:ARuleCon是什麼?它能解決什麼問題?
A:ARuleCon是由新加坡國立大學與復旦大學研究人員共同開發的智能體安全規則轉換工具。它能夠將不同SIEM系統(如Splunk、Microsoft Sentinel、IBM QRadar等)之間的規則進行自動轉換,解決了因各廠商規則Schema不兼容而導致規則無法跨系統使用的難題,從而降低安全運營中心的工作負擔。
Q2:ARuleCon和直接用大語言模型轉換SIEM規則有什麼區別?
A:直接使用大語言模型轉換SIEM規則準確率較低,原因是訓練數據中缺乏足夠的SIEM規則Schema相關內容。ARuleCon則通過智能體RAG流水線檢索官方廠商文檔,並結合基於Python的一致性檢查機制,在受控環境中驗證轉換結果,有效提升了轉換準確率,並減少了語義偏移問題。
Q3:ARuleCon目前支持哪些SIEM平台的規則轉換?
A:ARuleCon目前支持Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle和RSA NetWitness五大主流SIEM平台之間的規則轉換,能夠將各廠商專有格式的規則轉換至多個競爭平台,但研究人員也指出並非所有轉換結果都完全準確。
