Le programme principal utilise une série de fichiers contenant des mots-clés qui sont susceptibles de représenter une tentative d'intrusion comme refused connect. D'autres fichiers contiennent les mots à ne pas considérer comme une attaque. Ce programme contrôle les journaux systèmes avec une simple commande grep.