HIDS vergleichen ihre Beobachtungen mit einem Modellverhalten von Programmen. Weicht das Verhalten ab, schlagen die Systeme Alarm. Die verwendeten Modelle beruhen bisher entweder auf statistischen Daten aus Trainingssitzungen oder auf Policies, die von einem Entwickler konstruiert wurden. Nach Ansicht von Professor Avishai Wool und dem Kernel-Enwtickler Ohad Ben-Cohen ist die erste Methode anfällig für False Positives, die zweite enorm aufwändig.

Wool und Ben-Cohen dagegen gewinnen das Verhaltensmodell automatisiert durch statische Code-Analyse. Aus der Untersuchung von Quelltext und Object Files erzeugt ihre Software einen Control Flow Graph (CFG). Da die meisten Angriffe mit System Calls einhergehen, beschränken sich die CFGs auf diese Aufrufe und dokumentieren die legitimen Muster für jede Anwendung. Weicht ein Programm von seinem Muster ab, beendet der Kernel diesen Prozess.

Korset verwendet Control Flow Graphs, die es durch statische Analyse aus dem Quellcode gewinnt.

Korset besteht aus zwei Teilen: Dem Analyzer im Userspace und einem Agenten im Kernel. Der Analyzer wird in den Build-Vorgang der Programme einbezogen und erzeugt für jedes Executable, jede Objekt-Datei und jede Bibliothek einen CFG. Der Korset-Monitoring Agent ist in den Kernel eingebaut. Wird ein überwachtes Programm ausgeführt, beobachtet der Agent die abgesetzten Systemaufrufe und vergleicht sie mit denen des CFG-Modells.

Ein Beitrag von Wool und Ben-Cohen zum Ottawa Linux Symposium 2008 (PDF) erläutert weitere Details, ebenso die Vortragsfolien von der Tagung Black Hat US 2008.

Ein Korset-Prototyp steht unter den Bedingungen der GPLv3 zum Download bereit. Die Macher bezeichnen diese Implementierung als Prä-Alpha-Software, die nicht für die Anwendung bestimmt ist, sondern als Proof-of-Concept dient.