Loại tấn công không xác định xác định một nhãn lớp hoàn toàn mới mà bộ phân loại chưa trải qua trước đó trong tập huấn luyện. Ví dụ:nếu trình phân loại không được đào tạo về các cuộc tấn công DoS và đã trải qua các cuộc tấn công DoS trong tập thử nghiệm.
Có các công nghệ hỗ trợ các cấp độ bảo vệ bắt buộc chống lại các cuộc tấn công không xác định bao gồm cách ly lỗi phần mềm, phát hiện xâm nhập thông qua phân tích chương trình.
Các công nghệ này phân phối một thuộc tính mệnh lệnh:chúng không dựa trên hoạt động hiệu quả của các chương trình. Thay vào đó, chúng cung cấp một lớp bảo vệ thứ cấp nếu một chương trình bị vi phạm và bị hỏng. Có khả năng là các hệ thống này cũng có thể bao gồm các lỗ hổng nhưng để việc khai thác thành công diễn ra, cả ứng dụng và biện pháp bảo vệ thứ cấp cần thiết phải được xác định đồng thời. Vì các lỗi sẽ được vá, ít có khả năng hai lỗi trùng lặp sẽ được khai báo và được biết đồng thời hơn là một lỗi duy nhất sẽ được biết đến.
Cách ly lỗi phần mềm - Chuyên môn đầu tiên, Software Fault Isolation (SFI), được sản xuất bởi Wahbe etal là một cách tiếp cận để tạo các hộp cát giống Java để tải động chương trình ngẫu nhiên theo cách trung lập về ngôn ngữ. Không giống như các hệ thống dựa trên JVM, nó có thể hữu ích bất chấp ngôn ngữ nguồn và trình biên dịch. Hạn chế duy nhất về ngữ nghĩa là không được phép tạo mã động trong mô-đun cách ly lỗi.
Hệ thống hỗ trợ mỗi mô-đun vùng bộ nhớ ẩn của riêng nó, trong đó nó được cách ly như một phần của chương trình lớn hơn. Kiểm tra tĩnh làm cho cụ thể rằng tất cả các bước nhảy có thể xác định được tĩnh chỉ xảy ra trong mô-đun và các chức năng bên ngoài được phép, tạo thành cơ chế cơ bản của hộp cát.
Phát hiện xâm nhập bằng phân tích chương trình - Kỹ thuật thứ hai, chẳng hạn như phát hiện xâm nhập dựa trên máy chủ bằng phân tích chương trình, lần đầu tiên được Wagner và Dean dự kiến và trải nghiệm. IDS này thực hiện phân tích tĩnh của chương trình để tạo mô hình tự động dữ liệu trừu tượng, không xác định của các lệnh gọi hàm và hệ thống.
Trong khi chương trình đang triển khai, nó kết nối mẫu cuộc gọi hệ thống với một bản sao đang chạy của dữ liệu tự động. Nếu chương trình cố gắng thực hiện một lệnh gọi hệ thống vi phạm mô hình, hệ thống sẽ coi rằng kẻ trộm đã làm hỏng chương trình.
Nó khác với các phương pháp phát hiện xâm nhập khác dựa trên đầu vào mẫu hoặc bộ quy tắc, kỹ thuật này có tỷ lệ dương tính giả bằng 0 có thể chứng minh được, loại bỏ một số cảnh báo sai. Điều này có nghĩa là hệ thống phát hiện xâm nhập có thể bắt đầu các phản hồi tự động như chặn cuộc gọi hệ thống, tắt chương trình bị hỏng và cảnh báo cho người điều hành.
Tỷ lệ dương tính giả bằng không là do bản chất lập trình của IDS, bao gồm một mô hình hiển thị tất cả các đường dẫn hợp pháp có thể có thông qua chương trình, đảm bảo rằng một số sai lệch được phát hiện từ cấu trúc không phải do mã của chương trình tạo ra mà thông qua mã được chèn bởi vi-rút hoặc kẻ tấn công.