Rozróżnienie między działaniami legalnymi a złośliwymi jest po prostu zbyt trudne. Bez odpowiedniego kontekstu, przebrnięcie przez ogromne zbiory informacji z logów lub zapisy ruchu sieciowego prowadzą do "przeciążenia informacyjnego". Jak więc rozpoznać, kto jest napastnikiem? Do tego niezbędna jest znajomość jego działań. Tutaj może pomóc stosowanie techniki honeypot, która jest niedocenianą taktyką obronną.

Każdy atak, przeprowadzony ręcznie lub automatycznie, ma fazę rozpoznawczą. Kiedy napastnik (lub wirus) zaczyna sondować sieci i systemy, to zazwyczaj ma możliwość wykonania tego w sposób niezauważony. Dopóki nie spowoduje załamania lub przeciążenia systemu, szansa na jego wykrycie jest niewielka. Honeypot (przynęta) to system, który wykrywa podejrzaną aktywność tworząc fałszywe cele. Prosta przynęta może np. wykorzystywać nieużywane adresy IP w sieci - jeżeli ktoś próbuje połączyć się z takim nieużywanym adresem, to można podnieść alarm. Podobnie działają przynęty w niewykorzystanych portach TCP, które mogą odpowiadać na żądania do nich skierowane, stwarzając iluzję istnienia takiej usługi. Do zwabiania ataków mogą być tworzone całe komputery a nawet sieci komputerów.

Tutaj mogą pojawić się wątpliwości, czy korzystanie z takich przynęt nie jest prowokacją w sensie prawnym. Niektórzy specjaliści zalecają więc, aby używać ich jedynie do wykrywania i zapobiegania atakom, a nie w celach prawnych, do wnoszenia oskarżenia. Jeżeli ktoś dostaje się do systemu, który nie ma nazwy DNS ani nie jest usługą publiczną czy zarejestrowaną, to jest całkiem prawdopodobne, że ma niecne zamiary. Powiadomienie o takim dostępie może dać osobom odpowiedzialnym za bezpieczeństwo, wyprzedzające ostrzeżenie o ataku z mniejszym prawdopodobieństwem fałszywego rozpoznania. Trzeba przy tym pamiętać, że istnieją narzędzia służące do diagnostyki i zarządzania, które także sondują całą sieć, ale ich wykluczenie nie nastręcza większych kłopotów. Pułapki mogą nawet automatyzować zapobieganie włamaniom poprzez tymczasowe umieszczanie adresu IP potencjalnego napastnika na czarnej liście.

Dostawcy oferują rozwiązania typu honeypot w swoich produktach jako standardowy mechanizm ochronny. Osprzęt sieciowy (routery i przełączniki) mogą być wyposażane w sieci-widma działające jako pułapki generujące alarmy. Oprogramowanie wirtualizacji może tworzyć całe centra danych stanowiące przynęty. Dostawcy usług mogą używać pułapek w nieprzydzielonych obszarach sieci. Wymyślne pułapki mogą także zwabiać napastników, stwarzając im pozory pomyślnego zdobywania przyczółków i eskalacji wtargnięcia, profilując jednocześnie napastnika na tej drodze.

Istnieje wiele uzasadnionych powodów sondowania ciemnych zakamarków sieci, systemów operacyjnych czy aplikacji. Przynęty pozwalają na ustawienie w tych miejscach pułapek, które czynią wypady rozpoznawcze napastników wielce ryzykownymi i zwiększają prawdopodobieństwo ich wykrycia. Miraż fałszywych systemów może powodować marnotrawstwo czasu napastnika, dając jednocześnie czas na jego wykrycie, zidentyfikowanie i unieszkodliwienie.