Für Netzwerk-Prozesse gibt es Intrusion Detection Systeme (snort z.B.).
Auf Kernel-Ebene evtl. SELinux (
http://de.wikipedia.org/wiki/SELinux).
Aber evtl. langt ja auch eine ps Ausgabe für zu überwachende Prozesse, die du gegen
eine vorher gesicherte mit md5sum vergleichen kannst.
Also am besten mal schildern: Was erwartest du - anhand eines Beispiels - was sich
verändern kann im worst case? Welche Prozesse?