A ferramenta desenvolvida, a diferencia dos IDSs convencionais, é capaz de detectar calquera tipo de intrusión e non precisa ningún tipo de coñecemento a priori sobre as vulnerabilidades e ataques existentes. Este enfoque fai a estes sistemas moito mais flexibles e efectivos ante atacantes experimentados. Este sistema basea a súa capacidade de detección de intrusións na comparación da información das conexións cun modelo que representa o comportamento normal (tráfico habitual e permitido) da rede, en lugar da súa comparación cun conxunto discreto de firmas. Así, detecta intrusións en base á anormalidade das conexións con respecto ao modelo de comportamento base, o que proporciona ao sistema a habilidade de detectar calquera tipo de ataque. Ademais, debido á natureza flexible do seu mecanismo de detección, este sistema non require una supervisión e mantemento constante, dado que os seus resultados son válidos sempre e cando no varíe de forma significativa o comportamento normal da rede, limitándose a estes casos a necesidade de calcular un novo modelo e adestrar de novo o sistema.