该论文首次对基于日志的检测规则在公共仓库中的演化进行了纵向分析。日志检测规则是现代安全运营的核心，分析师通过迭代调整规则平衡检测覆盖率和告警量。然而，此前研究多关注网络入侵检测签名的演化，对日志检测规则的长期行为缺乏实证研究。作者选取了两个广泛使用的仓库：社区驱动的Sigma项目和精心策划的Splunk安全内容（SSC），对其中6859条规则的历史版本进行分析。为了比较基于检测逻辑而非表面语法的规则版本，作者引入了一种谓词图中间表示，用于规范化规则的逻辑结构，并设计了一个树对齐过程来分析跨版本的变更。研究发现，约56%的规则至少经历了一次检测逻辑修订；规则演化总体上呈非单调趋势，超过一半的规则随时间既添加从句又删除从句；同时存在频繁的还原操作，表明变更常被重新审视而非严格累积。结合结构分析、基于LLM的推理和人工验证操作意图，发现约四分之一到三分之一的规则在扩展覆盖率和减少误报之间交替，而非趋于稳定形式。这些结果揭示了公共仓库中检测规则的演化反映了持续的操作权衡，而非稳定收敛。该研究提出了规则为何如此变化的问题，并支持了制定和部署安全规则更好流程的研究方向。