LIDS与一般的入侵检测系统原理上有什么不同?它有哪些主要特性?

LIDS全称Linux入侵检测系统，但从它的实际功能来说，称之为一种Linux系统内核增强补丁程序更为确切。它主要应用了安全参考监视器和强制访问控制MAC。使用了LIDS后，系统能够保护重要的系统文件和系统进程，并能阻止对系统配置信息的改变和对裸设备的直接读写操作。

当LIDS起作用后，文件访问、系统/网络的管理操作、设备、内存及输入输出的操作权限都可以受到限制，甚至对于ROOT也一样。LIDS利用并扩展绑定到系统上的权限来控制整个系统，在内核中添加网络和文件系统的安全特性，从而加强了安全性。

LIDS的特性总的来说有三点：

1、防护：它能保护重要的文件、进程和设备(例如内存、硬盘包括引导区)不被非授权的人改动，包括非授权的ROOT。

2、监测：LIDS在内核中提供扫描监测，检测谁正在扫描你的系统，并报告系统管理员。

3、响应：在发现系统受到攻击后，它能及时地将必要的信息记到日志文件中，还可以将其发送到管理员的信箱中。