알 수 없는 공격 범주는 분류기가 훈련 세트에서 이전에 경험하지 않은 완전히 새로운 클래스 레이블을 정의합니다. 예를 들어 분류자가 DoS 공격에 대해 훈련을 받지 않았고 테스트 세트에서 DoS 공격을 받은 경우입니다.
소프트웨어 장애 격리, 프로그램 분석을 통한 침입 탐지 등 알려지지 않은 공격에 대한 필수 수준의 보호를 지원하는 기술이 있습니다.
이러한 기술은 명령형 속성을 배포합니다. 프로그램의 효율적인 작동을 기반으로 하지 않습니다. 그보다는 프로그램이 침해되거나 손상된 경우 2차 보호 계층을 제공합니다. 이러한 시스템이 결함을 포함할 수도 있지만 성공적인 익스플로잇이 발생하려면 애플리케이션과 2차 보호가 동시에 약화되어야 합니다. 버그가 패치될 것이기 때문에 하나의 버그가 알려지는 것보다 두 개의 중복 버그가 선언되고 동시에 알려질 것으로 예상되는 경우가 적습니다.
소프트웨어 오류 격리 − Wahbe etal이 제작한 첫 번째 전문 기술인 SFI(Software Fault Isolation)는 언어 중립적인 방식으로 무작위 프로그램을 동적으로 로드하기 위한 Java와 같은 샌드박스를 만드는 접근 방식입니다. JVM 기반 시스템과 달리 소스 언어와 컴파일러에도 불구하고 유용할 수 있다. 유일한 의미 제한은 오류 격리 모듈 내에서 동적 코드 생성이 허용되지 않는다는 것입니다.
시스템은 각 모듈이 더 큰 프로그램의 일부로 격리된 고유한 숨겨진 메모리 영역을 지원합니다. 정적 검사는 정적으로 결정 가능한 모든 점프가 모듈 내에서만 발생하고 허용 가능한 외부 기능에 대해서만 발생하도록 하여 샌드박스의 기본 메커니즘을 형성합니다.
프로그램 분석을 통한 침입 탐지 − 프로그램 분석에 의한 호스트 기반 침입 탐지와 같은 두 번째 기술은 Wagner와 Dean이 처음으로 계획하고 경험했습니다. 이 IDS는 프로그램의 정적 분석을 구현하여 함수 및 시스템 호출에 대한 추상적이고 비결정적인 오토마타 모델을 생성합니다.
프로그램이 구현되는 동안 시스템 호출 패턴을 실행 중인 오토마타 사본과 연결합니다. 프로그램이 모델을 위반하는 시스템 호출을 시도하는 경우 시스템은 강도가 프로그램을 오염시킨 것으로 간주합니다.
샘플 입력 또는 규칙 세트를 기반으로 하는 다른 침입 탐지 방법과 다르며, 이 기술은 입증 가능한 0 거짓 긍정 비율을 가지며 일부 거짓 경보를 제거합니다. 즉, 침입탐지 시스템이 시스템 호출 차단, 손상된 프로그램 종료, 임원 경고 등의 자동 대응을 시작할 수 있습니다.
오탐률이 0인 것은 프로그램을 통해 가능한 모든 법적 경로를 표시하는 모델을 포함하는 IDS의 프로그램적 특성으로 인해 구조에서 일부 감지된 편차가 프로그램의 코드에 의해 생성되는 것이 아니라 삽입된 코드를 통해 생성되는지 확인합니다. 바이러스 또는 공격자에 의해.