Področje kibernetske varnosti ima vedno pomembnejšo vlogo, saj se število v internet povezanih naprav, kot tudi število kibernetskih napadov neprestano povečuje. Za spremljanje napadov in obnašanja napadalcev uporabljamo sisteme pasti. Da bi lahko bolje razumeli obnašanje napadalcev, smo se v magistrskem delu posvetili analizi podatkov, ki nastanejo pri uporabi sistema pasti, z namenom identifikacije različnih orodij napadalcev. V teoretičnem delu smo predstavili različne tipe kibernetskih napadov, kot tudi sisteme pasti, ki nam omogočajo spremljanje napadov in njihovo analizo. Predstavili smo izbrana orodja, ki smo jih preizkusil v praktičnem delu naloge, ter nato analizirali pripadajoče ustvarjene dnevnike sistema pasti. Za vsako od predstavljenih orodij smo opisali rezultate analize. Opisali smo značilnosti, ki jih najdemo v posameznih dnevniških datotekah, s pomočjo katerih lahko zaznamo uporabo določenega orodja. Na koncu smo primerjali uspešnost in zanesljivost detekcije posameznih orodij. Preizkusili smo tudi uporabo obsežnih jezikovnih modelov za analizo dnevniških datotek in detekcijo uporabljenih orodij. Rezultate analize z uporabo jezikovnih modelov smo primerjali z rezultati prej opravljene analize. Rezultati analize so pokazali, da lahko uspešno zaznamo orodja, ki napadajo SSH past, to so Hydra, Ncrack, določeni moduli Metasploita in nekateri načini uporabe Nmap. Uspešno zaznamo tudi orodji SQLmap in Nikto. Pri nekaterih načinih iskanja odprtih vrat z orodiji Nmap ter Metasploit ne moremo ločiti med orodji. Najbolj težavno je zaznavanje orodja Wfuzz, kjer smo odkrili le eno značilnost, katero lahko napadalec spremeni ter s tem onemogoči zaznavo.