В статье рассмотрена проблема обнаружения распределенной по времени сетевой атаки. Проанализированы отчёты о состоянии безопасности информационного пространства от Лаборатории Касперского и IBM Security, а также выявлены этапы ретроспективного анализа сетевого трафика на основе исследований в области компьютерной криминалистики. Были выдвинуты предположения о возможных проблемах на каждом этапе и предложены пути решения. Исследованы существующие системы анализа сетевого трафика, используемые для решения существующей проблемы, проведена сравнительная характеристика и выявлена их ограниченность.