linux下的入侵监测系统LIDS原理 （4）

　　九.入侵响应系统

　　当我们检测到了一些程序违反了我们定的规则，我们必须要对它做出响应。在当前的LIDS系统，我们可以用记录的功能来记录下所有的信息。我们也可以挂起这个用户用到的控制台。然后，我们就会给LIDS加上更多的响应系统，不但是在内核里，还是在用户区。

　　9.1 允许用安全的方法登陆

　　在传统的内核登陆模式，我们每次都是用printk在控制台打印信息。但是这样很容易会被DoS攻击内核。他会让系统频繁的运行printk命令，我们可以在内核用security_alert()来实现报警响应功能。

　　你可以看看/include/linux/kernel.h的代码。

　　9.2 控制台挂起

　　这个功能是用安全日志来挂起那些违反LIDS定义的安全规则的人的控制台。他们要继续必须重新登陆系统。但是他们所做的一切都已经被系统日志记录下来或是用e-mail的方法发送给了管理员。

　　9.3 用e-mail或是传呼来报告管理员

　　这个功能是boidi开发的。用这个工具，我们可以很容易的知道系统什么地方出错，我们可以及时的响应入侵。

　　这些就是大概的LIDS的基本原理，它可能很多的涉及到了内核模块的编程。这个方面内容，大家可以到chinabyte的linux专区，那里有coolboy的关于可加载模块lkm的资料。很cool。 有什么问题，也可以e-mail给我chaobowang@sina.com 希望大家多支持linuxbyte!!!!