谈OSSIM服务器内存开销问题
OSSIM经历十多年发展,目前已经成为最优秀的开源安全事件信息管理平台,它在我国的应用才刚刚起步。多年前,在国外考查时我意外发现了这款优秀的软件系统,并不断改进之后开始在国内开始推广应用OSSIM,在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨,讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解,本文就谈谈到底OSSIM的哪些服务在消耗着内存。除操作系统本生以下子系统将消耗大量内存。(有关系统硬件选型问题大家可参考我的专著)
1).iptables链、表及规则都消耗有限的系统内存,而且规则加载越多消耗内存越大;
2).Snort模块,工作时既消耗CPU计算资源它的规则同时消耗大量内存,我们知道,利用Snort可以将SPAN过来的流量进行深度包检测,这是系统需要对数据包的内容进行识别,分析和分类,将采用基于字符串的多模式匹配算法和基于正则表达式的多模式匹配算法,这样以来大部分CPU的计算时间将被snort占用,与此同时snort还会连接数据库产生大量日志从而占用磁盘IO;
3)Squid,实现squid对本机的apache服务实现加速功能,我们可以在/etc/squid3/squid.conf配置文件的“Recommended
minimum configuration”推荐最小化配置一栏查找具体配置;
4)Memcache,当数据量大时,利用memcached可以缓存session数据、临时数据以减少对他们的数据库写操作,但它消耗内存也很大;
5)Redis、memcache,都是基于key/value存储,当插入的数据越多时消耗内存越大,当数据继续增加他们有可能会占用70%的内存,消耗很大;
6)LAMP,除Linux系统本身的内存消耗外,还有Apache、Mysql、PHP及模块的内存消耗;
7)OSSEC,利用规则进行入侵检测分析时,消耗大量内存;
8)OpenVas在进行漏洞扫描时会加载漏洞库这样会消耗大量内存;
9)Ntop,在监控时,在读取流量到Ntop中,ntop将产生大量主机数量,这可能消耗大量服务器内存;如果利用"q”参数将ntop产生的可以包转储为文件在这一过程中,同样消耗内存;
10)Agent,在Sensor中包含上百个Agent插件这些都消耗着大量内存;
11)Alienvault框架运行同样消耗内存;
12)OSSIM中关联引擎的聚合模块,在处理复杂报警并对报警事件进行聚合处理时,会进行大量计算消耗内存以及CPU资源,特别是对于短时间多次连续攻击,扫描引擎的报警数目更多,基于网格的聚合方法,合并起来系统做关联分析任务量很大,所以会消耗大量系统资源。
最重要的三个指标:内存大小、CPU数量、磁盘I/O及网络I/O大小
16GB内存是基本配置就不足为奇,最好将服务器内存配置到32GB及以上。如果服务器内存小于8GB的环境中使用OSSIM,还不如现在就放弃 :-)
版权声明:本文为博主原创文章,未经博主允许不得转载。
分享到:
相关推荐
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!!!
OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的...
ossim遥感软件相关文档手册,有所有命令的详细解释,还有一些操作示例
企业在乎的是如何防患于未然,如何快速定位攻击,如何快速解决安全问题。OSSIM作为开源的安全信息管理平台,对于企业的需求来说毋庸置疑。OSSIM系列课程会从基础架构入手并进行原理剖析,再到搭建配置和高阶应用,以...
ossim系统的中文化文档说明,,ossim系统的中文化文档说明
~~~对开源软件ossim agent的部署介绍,~对新手很有帮助
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!
Ossim在企业网络安全领域中的应用,原创PPT
开源的OSSIM软件源码,供搞遥感、GIS的同志参考 既然大家觉得有用,就再贡献些ossim文档。http://download.csdn.net/source/2013603
主要包含资产管理、漏洞扫描、入侵检测、日志分析等几大核心功能,但由于其架构复杂,资料也比较少,导致OSSIM目前在国内应用比较少,现在把之前做技术分享时的PPT共享出来,希望可以帮到感兴趣的同学。
OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。
它不包含OSSIM插件和其它OSSIM相关代码,诸如Java的绑定( ),和GUI。 这些可用于单独克隆。 有关请参见github根目录。 快速链接: OSSIM命令行实用程序 Doxygen源代码文档 存储库之间的关系(获得什么) 主要...
os simulator for learning concepts
ossim原理初步总结.doc
编译好的OSSIM (win10),不包括ossim-plugins; 注:ossim-plugins暂未编译通过; 源码地址:https://github.com/ossimlabs/ossim
内容:Why OSSIM ,OSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ALack analysis ,Why OSSEC ,OSSEC Architecture ....等
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库...
OS-SIM-(c)2003 ossim.net 关于奥西姆 我们的目标是获得一个可以工作的SIM(安全基础结构监视器),它能够集成,限定和关联高级别和低级别的安全性和网络事件,从而能够与最近出现在安全性市场上的商业产品竞争。...
OSSIM-GSoC-2014 摄影测量图像处理:OSSIM 的 DSM 生成工具================ 这是 OSSIM GSoc 2014 的存储库:它包含用于开发用于生成数字表面模型 (DSM) 的 OSSIM 应用程序的代码。 有关该项目的更多信息,请参阅 ...
(3b)通过OGC服务以postgres / accumulo公开数据的服务器(“ tilestore”) (4)一个Pentaho插件,该插件允许用户绘制“工作流”以使用串行,多线程,集群或地图缩小处理技术执行图像处理作业,该插件通过工作...