Các luồng và kết nối được phân loại định kỳ bằng hàm process và gọi hàm
rate_limit để xác định giới hạn băng thông tương ứng. Một luồng sẽ bị phân loại là “ATTACK” nếu ít nhất nó gặp phải một trong các điều kiện sau:
Tỉ lệ gói tin TCP gửi và nhận lớn hơn TCPrto.
Tỉ lệ gói tin ICMP gửi và nhận lớn hơn ICMPrto.
Số kết nối UDP lớn hơn nconn và tỉ lệ số gói tin UDP gửi trên số kết nối UDP thấp hơn pconn.
Nếu luồng không gặp phải bất kỳ một điều kiện nào bên trên, luồng sẽ được phân loại là “SUSPICIOUS” nếu thời gian nó thỏa mãn điều kiện là không phạm phải bất kỳ
29 điều kiện nêu trên ít hơn khoảng thời gian Compliance Period hoặc số lượng bytes bị hủy khác 0. Ngược lại luồng sẽ được phân loại là “NORMAL”.
Về việc phân loại kết nối, kết nối sẽ bị phân loại là “TRANSIENT” nếu nó gặp phải một trong các điều kiện sau: (1) là kết nối TCP và có ít hơn 3 gói tin được gửi đi, hoặc (2) là kết nối ICMP và có ít hơn 2 gói tin được gửi đi, hoặc (3) là kết nối UDP và không có các mô hình mức ứng dụng. Một kết nối sẽ được phân loại là “GOOD” nếu có một trong các điều kiện sau đây:
Là kết nối TCP và có tỉ lệ số gói tin gửi trên số gói tin nhận nhỏ hơn TCPrto.
Là kết nối ICMP và tỉ lệ gói tin gửi và nhận nhỏ hơn ICMPrto.
Là kết nối UDP và có mô hình mức ứng dụng và kết nối ở trạng thái thỏa mãn mô hình đó.
Trong trường hợp khác, một kết nối được xem như là được phân loại “BAD”. Cả kết nối TCP và UDP nếu đã được phân loại là hợp lệ thì đề được thêm vào danh sách kết nối hợp lệ (Legitimate Connection List) và sau đó gửi tới module kernel rl bằng việc sử dụng các lệnh ioctl.
Sau khi một kết nối được phân loại, các thống kê về số lượng các gói tin và byte của kết nối đó sẽ bị xóa hết. Kết nối này được tiếp tục kiểm tra trạng thái tạm ngừng hoạt động của nó bằng cách so sánh nhãn thời gian hoạt động cuối cùng với khoảng tạm ngừng hoạt động tốt (Good Inactive Period) cho các kết nối tốt, hoặc khoảng thời gian tạm ngừng hoạt động tạm thời ( Transient Inactive Period) cho những kết nối tạm thời. Các kết nối bị phân loại là “BAD” không được kiểm tra tạm ngừng hoạt động như kết nối được phân loại là “GOOD”. Với các kết nối này, các kết nối tạm ngừng hoạt động sẽ bị xóa ngay lập tức.