หมวดหมู่การโจมตีที่ไม่รู้จักกำหนดป้ายกำกับคลาสใหม่ที่ตัวแยกประเภทไม่เคยมีมาก่อนในชุดการฝึก ตัวอย่างเช่น หากตัวแยกประเภทไม่ได้รับการฝึกฝนเกี่ยวกับการโจมตี DoS และได้รับการโจมตี DoS ในชุดการทดสอบ
มีเทคโนโลยีที่สนับสนุนระดับการป้องกันที่จำเป็นต่อการโจมตีที่ไม่รู้จัก ซึ่งรวมถึงการแยกข้อบกพร่องของซอฟต์แวร์ การตรวจจับการบุกรุกผ่านการวิเคราะห์โปรแกรม
เทคโนโลยีเหล่านี้กระจายคุณสมบัติที่จำเป็น:พวกเขาไม่ได้ขึ้นอยู่กับการทำงานที่มีประสิทธิภาพของโปรแกรม แทนที่จะให้การป้องกันระดับรองหากโปรแกรมถูกละเมิดและเสียหาย มีอยู่ว่าระบบเหล่านี้ยังสามารถปิดบังจุดบกพร่องได้ แต่เพื่อให้เกิดประโยชน์ ทั้งแอพพลิเคชั่นและการป้องกันรองจำเป็นต้องถูกบ่อนทำลายไปพร้อม ๆ กัน เนื่องจากบั๊กจะปล่อยให้ถูกแพตช์ จึงไม่คาดว่าจะมีการประกาศจุดบกพร่องที่ทับซ้อนกันสองจุดและเป็นที่รู้จักพร้อมๆ กันมากกว่าที่จะทราบจุดบกพร่องเพียงจุดเดียว
การแยกข้อผิดพลาดของซอฟต์แวร์ ความเชี่ยวชาญประการแรก Software Fault Isolation (SFI) ที่ผลิตโดย Wahbe etal เป็นแนวทางในการสร้างแซนด์บ็อกซ์ที่เหมือน Java สำหรับการโหลดโปรแกรมสุ่มแบบไดนามิกในลักษณะที่เป็นกลางทางภาษา แตกต่างจากระบบที่ใช้ JVM มันสามารถมีประโยชน์ทั้งๆที่ภาษาต้นฉบับและคอมไพเลอร์ การจำกัดความหมายเพียงอย่างเดียวคือไม่อนุญาตให้สร้างโค้ดแบบไดนามิกภายในโมดูลที่แยกข้อบกพร่อง
ระบบรองรับแต่ละโมดูล พื้นที่หน่วยความจำที่ซ่อนอยู่ ซึ่งแยกเป็นส่วนหนึ่งของโปรแกรมขนาดใหญ่ การตรวจสอบแบบสถิตทำให้เฉพาะเจาะจงว่าการข้ามที่กำหนดแบบสถิตทั้งหมดเกิดขึ้นภายในโมดูลเท่านั้นและกับฟังก์ชันภายนอกที่อนุญาต ซึ่งเป็นกลไกพื้นฐานของแซนด์บ็อกซ์
การตรวจจับการบุกรุกโดยการวิเคราะห์โปรแกรม เทคนิคที่สอง เช่น การตรวจจับการบุกรุกตามโฮสต์โดยการวิเคราะห์โปรแกรม ได้รับการฉายภาพครั้งแรกและมีประสบการณ์โดย Wagner และ Dean IDS นี้ใช้การวิเคราะห์แบบคงที่ของโปรแกรมเพื่อสร้างโมเดลออโตมาตาที่เป็นนามธรรมและไม่ได้กำหนดไว้ของฟังก์ชันและการเรียกใช้ระบบ
ในขณะที่โปรแกรมกำลังดำเนินการ มันจะเชื่อมต่อรูปแบบการเรียกของระบบกับสำเนาออโตมาตาที่กำลังทำงานอยู่ หากโปรแกรมพยายามเรียกใช้ระบบซึ่งละเมิดโมเดล ระบบจะถือว่าหัวขโมยทำให้โปรแกรมเสียหาย
ซึ่งแตกต่างจากวิธีการตรวจจับการบุกรุกแบบอื่นๆ ซึ่งอิงตามอินพุตตัวอย่างหรือชุดกฎ เทคนิคนี้มีอัตราการบวกที่ผิดพลาดเป็นศูนย์ที่พิสูจน์ได้ ขจัดสัญญาณเตือนที่ผิดพลาดบางอย่าง ซึ่งหมายความว่าระบบตรวจจับการบุกรุกสามารถเริ่มการตอบสนองอัตโนมัติ เช่น การบล็อกการโทรของระบบ การปิดโปรแกรมที่เสียหาย และการแจ้งเตือนผู้บริหาร
อัตราเท็จบวกเป็นศูนย์เกิดจากลักษณะทางโปรแกรมของ IDS ซึ่งล้อมรอบโมเดลที่แสดงเส้นทางทางกฎหมายที่เป็นไปได้ทั้งหมดผ่านโปรแกรม ตรวจสอบให้แน่ใจว่าการเบี่ยงเบนที่ตรวจพบบางส่วนจากโครงสร้างไม่ได้สร้างโดยโค้ดของโปรแกรม แต่ผ่านการแทรกโค้ด โดยไวรัสหรือผู้โจมตี
