1，拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

    2，非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

    3，预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

    4，可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

    5，协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

    6，系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

    为了掌握黑客攻击的主要特征并阻止攻击企图，ForeScout公司开发了一种叫做ActiveScout的防入侵技术，它有助于查明黑客的企图并防止网络攻击。据它对黑客攻击的观测统计发现，现在具有黑客行为的攻击与扫描具有以下特征：

    1，约90%的攻击来自蠕虫 
    由于蠕虫病毒具有自动攻击和快速繁殖的特性，因此，它占网络攻击的大约90%，通常是系统扫描或同步攻击。其中，大部分网络攻击的来源地是美国。根据ActiveScout的数据，这些蠕虫病毒繁殖迅速，扫描和攻击相隔的时间很短，因此无法人为控制。蠕虫病毒也具有反复攻击的特性，它们会寻找同一端口并大规模入侵这些端口。如果人们不对蠕虫病毒采取防范措施，攻击/扫描的成功率将达到30%，即在10次扫描中，有3次能获得结果并可进行攻击。

    2，96%的扫描集中在端口
    端口扫描在网络扫描中大约占了96%，UDP（User Datagram Protocol）服务次之，占3.7%。除了这两种之外，剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击，因为这些攻击可能会感染所有的Windows系统。同时，在发送流量之前，要求ISP对所有的NetBIOS流量进行过滤。

    有调查表明：在过去的半年中，存在危险性的Internet流量数量已经增加了2倍；暗噪声主要是由网络探测引起的，45%到55%的可疑行为都是黑客对计算机的扫描造成的；大多数攻击都是自动的，小型程序攻击通常来自以前中毒的计算机；黑客攻击这些网络的主要原因是寻找他们能用来传播垃圾邮件、为非法文件寻找特别存储空间的计算机，或者占用可用于下一次攻击的机器。

    3，10种端口最易受攻击 
    I-Trap组织曾经收集了来自24个防火墙12小时工作的数据，这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间，黑客攻击端口的事件有12000次之多，下表是攻击的主要端口及对应服务详细情况。