Onder meer DARPA en de NSF hebben geïnvesteerd in het idee van een Amerikaanse universiteit van een gedetailleerd systeem dat loggegevens en andere relevante informatie verzamelt, zodat een machine automatisch een reconstructie kan afspelen van waar het precies misging.

Een van de onderzoekers van Georgia Tech legt uit: "Je kunt teruggaan om te zien wat er is misgegaan in je systeem. Niet alleen naar het punt dat je besefte dat het verkeerd zat, maar ver genoeg terug in de tijd om te achterhalen hoe de aanvaller in het systeem is geraakt en wat er is gedaan."

Refinable Attack INvestigation (RAIN) monitort doorlopend calls, zonder dat dit te veel resources zou opvreten (PDF). De druk op de resources is volgens de onderzoekers verwaarloosbaar, met zo'n 3,22 procent van de CPU-kracht. Eerdere pogingen om een dergelijk systeem op te tuigen leidden tot een verhoging van vier tot twintig keer de belasting op de processor.

Daarnaast duikt er in de ruwe data nog regelmatig een false positive op, maar als RAIN details heeft verfijnd en dependency's heeft geanalyseerd, daalt de false postive-ratio naar vrijwel 0, zo staat te lezen in het onderzoeksrapport.