检测受感染主机的替代 Linux 检测方法

这是对我之前帖子的重写，因为之前我试图实现的目标并不完全清楚。希望这会更有意义 :)

简而言之，我正在寻找替代方法来检测我的系统是否受到威胁，而不仅仅是使用 tripwire/OSSEC/samhain/rkhunter 等工具以及常规文件完整性检查和日志监控。我故意不把我的问题说得太具体，因为我追求的是一般的想法，这样我就可以在自己的机器上实现它们。这可能包括但不限于以设定的时间间隔运行的脚本（cronjob），如果发生任何变化，它会通知管理员，并提示管理员通过（syslog/email？）进行进一步调查。请注意，我不一定追求代码本身，只是对其功能的高级概述。请随意详细阐述。

如果我列出目前正在做的一些事情，以便让您大致了解我所追求的想法，这可能会有所帮助。

1) 生成正在运行的 iptables 的输出的 md5sum，并将其与已知的良好哈希值进行比较。如果该值发生变化，则可以安全地假设有人添加/删除了 iptables 条目。

2) 我有一些只读的挂载点（/usr、/boot 等），因为它们不应该经常更改。如果分区从只读变为可写，我希望收到通知。

3) 仅监控 netstat 的输出以侦听服务。与包含已知良好值的文件执行文件比较 (diff)。如果添加了某些内容，则可能是有人向系统添加了新服务。可能存在后门？

请注意，如果我正在进行系统维护，上述情况将产生误报。但是，如果我不在的时候这些情况发生变化，我会认为它们很可疑并进一步调查。请注意，这些只是示例，确实存在缺陷，但障碍越多，被人绊倒的可能性就越大。

提前致谢。