Un tel système vient compléter la panoplie des équipements et logiciels de sécurité (serveurs proxy, routeurs filtrants, firewalls...) et offre à l'analyste un outil de contrôle des activités suspectes ou illicites (interne comme externe).
La détection d'intrusion est réalisée par l'analyse du trafic réseau et l'utilisation de signatures d'évènements hostiles ou par l'analyse en continue de fichiers de journalisation.
L'architecture de Prelude est modulaire (on peut intégrer ou développer de nouvelles fonctionnalités grâce à des plugins), distribuée (Prelude est une suite de composants autonomes et interactifs, ie les sondes et les managers) et sécurisée (utilisation du support SSL pour l'authentification et le chiffrement des communications).
Les sondes (réseaux comme locales) n'effectuent que les opérations de surveillance et de génération d'alertes alors que les managers prennent en charge la gestion des sondes et la journalisation des alertes.