相比之下，基于签名的工具会查找预定义的一组规则模式或标示攻击的签名。因为这些签名通常是独立于应用的，所以工具的成功与应用程序的运行配置文件或任何训练过程无关。

在网络级别进行操作的工具通常会监视和分析网络流量，以保证攻击在到达Web应用之前检测到。工作在应用级别的攻击检测工具会分析发送给应用的请求并试图利用服务端程序和请求中参数的特定关系。工作在资源层的工具会保护与每种漏洞类型相关的资源。这些工具会在应用层之下并接近受保护的资源。一个常见的例子是监控对数据库服务器的访问来检测SQL注入的IDS。

工具使用各种策略来收集应用请求以及可能收到攻击的信息。一些工具会使用嗅探策略来监控和分析通过网络传输的数据以此来观察HTTP流量，但是加密、编码以及封装可能会限制其有效性。同时，网络上可能会承载大量与受保护应用无关的数据。另一些工具会分析应用产生的日志甚至是应用所在服务器所产生的日志。尽管这种策略不会直接延迟对应用的请求，但是受限于日志中可以得到的信息。

而另一种策略就是在请求的来源和受保护的应用或资源间引入一个代理。这能够很容易地阻止攻击，因为它提供了关于目标应用或资源的有用信息，但是，它引入了不良的延时从而会影响应用的正常行为。

检测攻击的局限性