Proaktivní detekce zranitelností je postavena na behaviorální analýze toků dat v síti a detekci anomálií v síťové komunikaci.

Detekce zranitelností a slabin v rámci sítě byla spojována se systémy typu IPS/IDS. Zkušenosti z poslední doby však jasně ukazují, že tento postup nemusí být dostatečný. Neznámé druhy škodlivého kódu se šíří sítí, aniž by byly detekovány IPS/IDS sondou, neboť taková sonda zkrátka nezná příslušnou signaturu. Taková signatura dokonce vůbec nemusí existovat, protože škodlivý kód zaznamenal za poslední dobu obrovský rozmach.

Smyslem proaktivní detekce zranitelností, behaviorální analýzy a detekce anomálií v sítě je odhalit výskyt škodlivého kód bez ohledu na jeho znalost, znalost jeho signatury. Princip vychází ze sledování „běžné“ síťové komunikace. Tím se vytváří model typického chování každého aktivního prvku v síti, který se dá popsat parametry.

Pokud náhle začne jedna nebo více pracovních stanic vybočovat z „naučených mezí“, bude zde patrně něco špatně. Praxe ukazuje, že taková stanice byla napadena škodlivým kódem.