Linux 如何检测网络安全的流程采用

在一个网络安全项目中，我和我的队友遇到了以下潜在的安全风险：

恶意软件进程会生成一个子代，而子代又会生成一个孙子。 孙子被授权访问，但我们希望通过父链来发现源进程。在创建这些进程和进行安全检查之间，恶意软件进程会杀死其子进程，而孙子进程现在会避开其父链并直接连接到init

我想检测这种行为，并在安全检查时否认这种情况。我想记录所有创建进程的PPID，并检测并因此拒绝PPID已从创建更改为安全检查的所有进程

---

这是否可行？如果没有，是否有关于检测流程采用情况的建议？

您可能希望使用不同的名称来引用它。在*nix语言中，“僵尸”是一个已经终止并等待其父进程收集其退出状态的进程。您似乎在描述一种技术，通过这种技术，一个仍然处于活动状态的进程设法将自己作为一个非祖先的孩子“收养”，这与“僵尸”的正常用法完全不同。对此表示抱歉。改变