@Vistaus:
AppArmor detecteert zelf vrij weinig, eigenlijk helemaal niets.
Het is een hulpmiddel om voor bepaalde programma's de rechten in te perken. Zo wil Skype regelmatig de favorieten van je Firefox lezen, maar omdat Skype gesloten is weet je niet wat ze ermee doen, om maar een voorbeeld te noemen.
Voor zulke situaties is het handig om de schade die mogelijk aangericht kan worden te beperken.
Verder werkt AppArmor standaard alleen met programma's die al bekend zijn. Je moet voor ieder uitvoerbaar bestand dat je wil beveiligen een aparte set regels aanmaken die beschrijft wat wel en niet mag. Onbekende of nieuwe programma's hebben geen regels en mogen in principe alles doen tot ze tegengehouden worden door de andere rechtensystemen (bestandsrechten, kernelbeveiligingen, etc.).
Er zijn wel andere programma's die verdachte dingen kunnen monitoren, denk aan OSSEC/HIDS, SNORT, Tripwire, RKhunter, chkrootkit, Tiger, enz. En je hebt natuurlijk de traditionele virusscanners zoals andere OS'en die ook hebben.