arpテーブルを監視して不正端末をはじき出すってのを聞いて昔そんなツールを見たような気が……と思って帰ってから探してみた。
あー、これこれ。ipsentinel

あと思いついた事。
既存ウィルスにはアンチウィルスプログラム対策としてプロセスを停止するタイプが存在するけど、プロセスを止めてしまうと監視システムにバレちゃいますよね。だから監視システムの目をかいくぐるにはプロセスを止めるんじゃなくて、アンチウィルスの除外リストにエントリを追加するのが有効なんじゃないかと。除外リストに全てのドライブを追加してしまえばプロセスが動いていても意味無くなりますよね。