目前OSSIM 64位版本對於監控10/100M網絡環境沒有問題，千兆網絡環境中，在三層交換機上監控多個VLAN的流量有就有些吃力，交換機設置端口鏡像後同樣會是CPU占用率上升。具統計，當流量超過500MB/s時，在OSSIM分析數據包時會出現響應遲緩，伴隨丟包現象出現，而且準確性迅速下降。

1. 高速網絡中應用

在OSSIM中的IDS模塊中，流量一大就會出現數據處理瓶頸。數據包處理過程的難點是IP碎片重組和TCP流量重組。而這兩種重組過程不但要IDS模塊中完成，而且需要對數據包進行深度檢測（例如進行數據包模式匹配），尤其在千兆網絡環境中，IP碎片重組和TCP流重組需要很強的CPU處理能力，比如TCP用於控制數據流的窗口，最大可以為64KB，當IDS系統要同時維護1,000,000個TCP會話時，即使緩沖區大小為4KB，其所占的內存空間達到4GB。面對這樣復雜的過程，如果你的服務器CPU選型不達標，系統響應速度就會迅速下降。

2. 多嗅探器場合
在一些特殊場合為了鑒別各種IDS的特性會同時使用多套IDS系統，比如安裝OSSIM然後同時使用HP-Arcsight分析網絡數據包（或IBM QRadar），這時傳統端口鏡像（SPAN）的方法無法滿足。也就是說遇到需要將一個監測數據流傳送給多臺監測設備的情況采用SPAN無法滿足。凡是需要將多個監測數據流傳送到單臺監測設備的情況SPAN同樣無法滿足。
? 註意：在網絡核心設備上開啟SPAN需慎重，如果CPU利用率長期超過20%,則不建議開啟，以免影響網絡性能。
對於這兩種情況我們可以采用網絡分流器的設備解決，它是一個獨立的硬件，支持千兆甚至是萬兆網絡環境（比如Gigamon的方案），而且它不會對已有網絡設備的負載帶來任何影響，這與端口鏡像等方式相比具有極大的優勢,它的分流模式，是將被監控的UTP鏈路用TAP分流設備一分為二，分流出來的數據接入采集接口，為信息安全監控系統采集數據。

3. Sensor部署技巧
OSSIM的傳感器安放位置，至關重要。很多人曾經都安裝過sniffer嗅探器，在大型網絡中這種做法並不像將主機接入網絡那樣簡單。作為網絡管理人員，應該清楚所管理網絡環境的具體情況。如圖1所示的就是一個某企業的網絡拓撲結構。

圖1 如何選擇嗅探器的位置

在交換式網絡中采用端口鏡像是捕獲流量最簡單的方法，但所使用的交換機必須支持端口鏡像（Port Mirroring）功能，以及有一個空閑端口，可插入嗅探器。大多數中檔以上的交換機都支持端口鏡像功能，但支持程度不同。
支持SPAN的設備
Tp-link常用的有鏡像功能的交換機有tplink sf2005 5口鏡像交換機
Tp-link 2428WEB 24口可網管鏡像交換機

如果在路由式網絡中OSSIM Server和Sensor之間最好不要跨安全設備，否則會影響系統通訊。

復雜網絡環境中的OSSIM應用