Geschäftskontext
Ein IT-Sicherheitsteam kartiert Serververbindungen. Die Rohdaten sind oft 'schmutzig' und enthalten Server, die sich selbst pingen (Selbstverweise) oder redundante Logs (Mehrfachverbindungen). Der Algorithmus muss korrekt damit umgehen, um kritische Infrastrukturknoten zu identifizieren.
Datenaufbereitung
Erstellung einer 'schmutzigen' Topologie-Tabelle mit Selbstverweisen (A->A) und doppelten Einträgen.
Kopiert!
| 1 | |
| 2 | DATA mycas.server_logs; |
| 3 | INFILE DATALINES delimiter=','; |
| 4 | INPUT srv_src $ srv_dst $; |
| 5 | DATALINES; |
| 6 | Srv1,Srv2, Srv2,Srv3, Srv3,Srv1, Srv1,Srv1, Srv2,Srv3, Srv4,Srv5; |
| 7 | |
| 8 | RUN; |
| 9 |
Étapes de réalisation
1
Laden des Actionsets.
Kopiert!
| 1 | PROC CAS; LOADACTIONSET 'network'; RUN; |
2
Ausführung mit expliziter Aktivierung von `selfLinks` und `multiLinks`.
Kopiert!
| 1 | |
| 2 | PROC CAS; |
| 3 | ACTION network.core / links={name='server_logs'}, from='srv_src', to='srv_dst', selfLinks=TRUE, multiLinks=TRUE, outNodes={name='server_importance', replace=true}; |
| 4 | |
| 5 | RUN; |
| 6 |
3
Kontrolle der Ergebnisse.
Kopiert!
| 1 | |
| 2 | PROC CAS; |
| 3 | ACTION TABLE.fetch / TABLE='server_importance'; |
| 4 | |
| 5 | RUN; |
| 6 |
Erwartetes Ergebnis
Die Aktion darf nicht abstürzen. Selbstverweise (Srv1->Srv1) und Duplikate (Srv2->Srv3) sollten gemäß den Parametern in die Gradberechnung einbezogen werden, was potenziell zu höheren Kernnummern für diese Server führt als bei einer Standardanalyse.