puppy-hids:Linux主机入侵检测系统演示，采用netlink_audit协议，支持主机与容器进程，网络，文件监控

方便使用 四个模块： 网站：前端输入服务器检测规则，黑白名单，代理监控文件，审核规则到mongodb；响应代理定时获取在线服务器列表 服务器：提供代理rpc服务器调用，从mongodb中获取代理监控配置，保存服务器在线信息到mongodb，发送日志到进行可视化 代理：netlink家族的NETLINK_AUDIT协议监听SYSCALL时间，规则可以动态配置；读取/ proc文件系统需要管理员权限运行 守护程序：响应服务器指令下发（socket） 系统采用netlink_audit协议检测进程执行，连接系统调用，仅依赖内核kauditd，这个在内核2.6集成；对于安装第三方auditd用户程序服务需要停止，否则代理接收不到系统通过netlink传递的事件信息，通过libpcap抓取网络连接五元组信息，在/ proc补全进程argv，comm，path等信息，对与短暂进程，网络连接建立LRU