`
97140
  • 浏览: 50291 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

谈OSSIM服务器内存开销问题

 
阅读更多

谈OSSIM服务器内存开销问题

OSSIM经历十多年发展,目前已经成为最优秀的开源安全事件信息管理平台,它在我国的应用才刚刚起步。多年前,在国外考查时我意外发现了这款优秀的软件系统,并不断改进之后开始在国内开始推广应用OSSIM,在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨,讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解,本文就谈谈到底OSSIM的哪些服务在消耗着内存。除操作系统本生以下子系统将消耗大量内存。(有关系统硬件选型问题大家可参考我的专著)

1.iptables链、表及规则都消耗有限的系统内存,而且规则加载越多消耗内存越大;

2.Snort模块,工作时既消耗CPU计算资源它的规则同时消耗大量内存,我们知道,利用Snort可以将SPAN过来的流量进行深度包检测,这是系统需要对数据包的内容进行识别,分析和分类,将采用基于字符串的多模式匹配算法和基于正则表达式的多模式匹配算法,这样以来大部分CPU的计算时间将被snort占用,与此同时snort还会连接数据库产生大量日志从而占用磁盘IO

3Squid,实现squid对本机的apache服务实现加速功能,我们可以在/etc/squid3/squid.conf配置文件的“Recommended minimum configuration”推荐最小化配置一栏查找具体配置;

4Memcache,当数据量大时,利用memcached可以缓存session数据、临时数据以减少对他们的数据库写操作,但它消耗内存也很大;

5)Redismemcache,都是基于key/value存储,当插入的数据越多时消耗内存越大,当数据继续增加他们有可能会占用70%的内存,消耗很大;

6)LAMP,Linux系统本身的内存消耗外,还有ApacheMysqlPHP及模块的内存消耗;

7)OSSEC,利用规则进行入侵检测分析时,消耗大量内存;

8OpenVas在进行漏洞扫描时会加载漏洞库这样会消耗大量内存;

9Ntop,在监控时,在读取流量到Ntop中,ntop将产生大量主机数量,这可能消耗大量服务器内存;如果利用"q”参数将ntop产生的可以包转储为文件在这一过程中,同样消耗内存;

10Agent,在Sensor中包含上百个Agent插件这些都消耗着大量内存;

11Alienvault框架运行同样消耗内存;

12OSSIM中关联引擎的聚合模块,在处理复杂报警并对报警事件进行聚合处理时,会进行大量计算消耗内存以及CPU资源,特别是对于短时间多次连续攻击,扫描引擎的报警数目更多,基于网格的聚合方法,合并起来系统做关联分析任务量很大,所以会消耗大量系统资源。

最重要的三个指标:内存大小、CPU数量、磁盘I/O及网络I/O大小

16GB内存是基本配置就不足为奇,最好将服务器内存配置到32GB及以上。如果服务器内存小于8GB的环境中使用OSSIM,还不如现在就放弃 :-)

版权声明:本文为博主原创文章,未经博主允许不得转载。

分享到:
评论

相关推荐

    OSSIM中文汉化版

    OSSIM(Open Source Security Information Management)是一款开源的安全信息和事件管理系统,它集成了各种开源安全工具,如Snort入侵检测系统、Nmap网络扫描工具、Logwatch日志分析工具等,提供了一站式的安全监控...

    ossim agent

    - OSSIM Server:OSSIM的核心服务器,负责收集、分析数据并生成警报。 - MySQL:OSSIM系统的后端数据库。 - Nagios/Oreon Server with OSSIM Agent:Nagios监控系统与OSSIM代理结合,提供网络监控与警报。 ### 结语...

    实现ossim中文化文档

    实现 OSSIM 中文化文档 在 OSSIM 系统中,中文化文档是非常重要的一步,能够让用户更方便地使用系统。下面我们将详细介绍如何实现 OSSIM 中文化文档。 首先,我们需要了解 OSSIM 中文化文档的文件结构。在 OSSIM ...

    ossim 遥感软件相关文档

    ossim(Open Source Security Information Management)是一款开源的遥感图像处理和分析软件,它提供了强大的图像处理、地理空间分析和图像链路的功能。这个压缩包包含了一系列与ossim相关的文档,帮助用户理解和...

    OSSIM技术研究

    OSSIM(开源安全信息管理系统)是一个成熟、稳定且开源的信息安全管理系统,由美国Alienvault公司开源并提供免费使用。其设计思想强调以资产为核心,并定位为一个集成解决方案,旨在集成而非重新开发安全功能。OSSIM...

    OSSIM技术最新深入解析

    OSSIM,全称为开源安全信息管理系统,是一个广泛认可的开源安全架构,旨在提供一个集中的、有组织的安全监控框架。其核心理念是通过整合多种开源安全工具,形成一个能够实时监控、风险评估和报警处理的高效平台。...

    ossim遥感处理软件源代码

    OSSIM,全称Open Source Geospatial System Imager,是一款强大的开源遥感图像处理软件。...通过学习OSSIM,你将能够更好地理解和应用遥感技术,解决实际问题,并可能参与到开源项目中,为整个社区贡献力量。

    ossim.zip_ossim_zip

    4. **示例和教程**:ossim可能提供了若干示例场景,模拟不同的操作系统概念,如进程调度、内存分配等。这些示例有助于学习者通过实践来理解理论知识。 5. **虚拟机镜像**:为了简化安装和配置过程,ossim可能提供预...

    OSSIM开源安全信息管理系统实践-视频教程网盘链接提取码下载.txt

    1. **数据收集与整合**:OSSIM能够从各种不同的来源收集数据,包括网络设备、服务器、应用程序等,并将这些数据统一到一个平台上进行分析。 2. **实时监控与报警**:通过设置规则和阈值,OSSIM能够实时监测网络状态...

    原创:Ossim在企业网络安全领域中的应用

    Ossim在企业网络安全领域中的应用,原创PPT

    OSSIM中文汉化

    对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!

    编译好的OSSIM (win10)

    3. **性能优化**: Linux系统通常对服务器应用有更好的性能优化,因此在Windows上运行OSSIM可能会影响其性能。 4. **维护与更新**: 编译好的Windows版OSSIM可能需要定期更新和维护,以保持与最新版本的兼容性和安全...

    OSSIM浏览分析

    OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。

    ossim原理初步总结.doc

    OSSIM采用浏览器/服务器(B/S)架构,核心组件包括Web服务器(Apache)、数据库(MySQL)以及各种开发语言(PHP、Perl、C等)。工作流程如下: 1. **传感器(Sensor)**:分布在各个需要监控的位置,运行各种安全...

    ossim:核心OSSIM(开源软件映像图)软件包,包括用于OSSIM库,命令行应用程序,测试和构建系统的C ++代码

    它不包含OSSIM插件和其它OSSIM相关代码,诸如Java的绑定( ),和GUI。 这些可用于单独克隆。 有关请参见github根目录。 快速链接: OSSIM命令行实用程序 Doxygen源代码文档 存储库之间的关系(获得什么) 主要...

    libglib2-dev libgnet2-dev

    描述中提到的"ossim-server所需要的部分依赖库",表明OSSIM(Open Source Security Information Management)服务器在运行时需要这些库。OSSIM是一个集成安全信息和事件管理(SIEM)系统,用于收集、分析和报告网络...

    OSSEC  &  OSSIM  Unified  Open  Source  Security开源安全框架精要PPT

    内容:Why OSSIM ,OSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ALack analysis ,Why OSSEC ,OSSEC Architecture ....等

    AlienVault OSSIM:开源SIEM-开源

    OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库...

    fushi.rar_ossim_图像膨胀_开运算_形态学 开运算_闭运算

    本文将详细讲解"图像腐蚀"、"图像膨胀"、"开运算"和"闭运算",这些都是数学形态学的核心概念,尤其在OSSIM(Open Source Security Information Management)系统中,这些技术常用于图像分析和处理。 首先,让我们来...

    ossim:开源安全信息和事件管理

    OS-SIM-(c)2003 ossim.net 关于奥西姆 我们的目标是获得一个可以工作的SIM(安全基础结构监视器),它能够集成,限定和关联高级别和低级别的安全性和网络事件,从而能够与最近出现在安全性市场上的商业产品竞争。...

Global site tag (gtag.js) - Google Analytics