É utilizado o ambiente do sistema operacional Linux e a geração das políticas de acesso é feita pelo monitoramento das aplicações através da captura e análise de chamadas ao sistema (system calls). Visando o compartilhamento de recursos, são utilizadas também máquinas virtuais, que são computadores simulados dentro de máquinas comuns.
A linguagem de programação utilizada é a Linguagem C, comum em sistemas Linux, utilizando o compilador gcc (GNU C Compiler). Para fazer a interceptação das chamadas ao sistema foi utilizada a biblioteca de funções PTRACE, que inclui funcionalidades de trabalhar com chamadas ao sistema no modo usuário.
Diversas informações estão contidas nas chamadas ao sistema. Entretanto, nesta pesquisa são considerados apenas os seguintes dados: lista de acesso a arquivos, tipo de acesso a arquivos (leitura ou escrita), quantidade de processos filhos gerados e lista de arquivos binários executados.
O monitoramento das aplicações ocorre por acoplamento de processo. Através da biblioteca PTRACE é possível que o processo monitor se acople ao processo monitorado de modo que assim, ele possa monitorar suas ações. O programa desenvolvido é capaz também de iniciar um processo para monitoramento. Portanto, um processo pode ser monitorado desde sua carga até seu encerramento.
As políticas dos processos geradas são armazenadas em arquivos, com sintaxe apropriada, de modo que IDSs com Detecção Baseada em Evidências de Intrusão possam fazer uso de suas informações.