Анализ журналов регистрации на уровне ядра и мониторинг входящего/исходящего трафика непосредственно на сервере позволяют обнаруживать атаки на сетевом и системном уровне. Благодаря локальному выявлению атак на сетевом уровне они блокируются прежде, чем достигнут ОС и приложений. Детальный анализ, который проводится в промежутках между событиями, позволяет существенно снизить число ложных срабатываний. Предусмотрено определение правил блокировки, отвергающих нежелательный трафик за межсетевым экраном. Можно блокировать попытки зондирования и сканирования хостов или предоставить ложную информацию, которая затруднит деятельность хакера.