La détection d’une cyber-attaque va refléter certains écarts d’activité par rapport à l’activité et la structure normales. Par conséquent, les détecteurs d’anomalies statiques se concentrent sur la vérification d’intégrité des fichiers utilisés. La détection dynamique d’anomalies repose pour sa part généralement sur les dossiers d’audit ou sur des données surveillées de trafic réseau. Les enregistrements d’audit ne vont pas enregistrer tous les événements, ils se limitent à ceux qui sont inhabituels. Ce sont eux qui ont repéré une activité lors de l’attaque de Bercy en 2011 (lire encadré) Les analyses statiques et dynamiques combinées confirment les attaques et donnent une piste précise de recherche, un diagnostic.
