NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

检测未经授权的命令可以应用于除基于内核的接口以外的关键接口，包括与虚拟机和特权应用程序的接口。未经授权的操作系统命令包括来自不受信任的系统进程的内核功能命令，这些进程不被允许发起此类命令，以及即使某类命令对于进程发起是合理的，但仍然可疑的内核功能命令。组织可以通过命令类型、命令类别或特定命令实例的组合来定义需要检测的恶意命令。组织还可以通过组件类型、组件、网络中组件的位置或其组合来定义硬件组件。组织可以针对不同类型、类别或实例的恶意命令选择不同的操作。