Atvirojo kodo tinklo srauto programa gali interpretuoti visą gaunamą tinklo srautą arba informaciją apie gaunamus vartotojus, pvz., interneto protokolo (IP) adresą ir prievado numerius. To reikia administratoriams, kad žinotų, kas gauna prieigą prie sistemos ir kur vidiniame tinkle keliauja informacija. Tai padeda administratoriams nustatyti ugniasienės taisykles ir sekti įsilaužėlius, kai jie bando sugadinti tinklą. Atvirojo kodo tinklo srauto programa yra neįkyri; viskas, ką ji daro, yra rinkti paketo antraštės informaciją ir pranešti apie tai administratoriui. Padaryta tiek mažai, kad norint, kad tinklo srauto kolektorius veiktų, reikia mažai centrinio procesoriaus (CPU) galios.
Lankytojai, nesvarbu, ar jie yra vidiniai darbuotojai, ar išoriniai svečiai, nuolat lankysis svetainėje ar tinkle. Be atvirojo kodo tinklo srauto programos šie lankytojai gali judėti sistemoje renkant tik minimalų duomenų kiekį – to nepakanka, kad padėtų administratoriams apsisaugoti nuo atakų. Įjungus netflow, administratorius galės pasakyti, kur lankytojai eina, todėl žinos, kokias teritorijas reikia saugoti; jis arba ji taip pat gali atrasti sistemos trūkumus. Administratoriai gali imituoti tinklo elgseną be tinklo srauto, tačiau tai užima daug išteklių, neatspindi, kaip tikrieji lankytojai naudosis sistema, ir trukdys privatumui, jei administratorius dirba klientui, o ne įmonei.
Vienas iš pagrindinių būdų, kaip apsaugoti sistemas, yra tai, kad „netflow“ padeda administratoriams sugauti įsilaužėlius, bandančius užpulti paslaugų atsisakymo (DoS) ataką. DoS ataka įvyksta, kai kas nors nukreipia į sistemą netikrų lankytojų bangas, kol ji sugenda, nes tinklas negali apdoroti daugybės užklausų. Administratoriai galės nustatyti, ar įsilaužėliai nepuola po sistemą, ir gali nutraukti DoS bandymus.
Atvirojo kodo tinklo srauto programinė įranga veikia renkant informacijos paketą iš lankytojo. Šiame pakete bus pagrindinė informacija, tokia kaip IP adresas, prievado numeris ir maršrutizatoriaus informacija. Tada surinkimo sistema peržiūri duomenis ir išsaugo juos vėlesniam patikrinimui. Toks požiūris yra neįkyrus, nes netflow tiesiog greitai žiūri į paketą, nukopijuoja informaciją ir netrukdo lankytojui.
Norint, kad atvirojo kodo tinklo srauto programa veiktų, reikia labai mažai procesoriaus galios. Taip yra todėl, kad, palyginti su kitomis programomis, netflow beveik nieko nedaro; ji peržiūri pagrindinę informaciją ir ją įrašo. Kad netflow programa veiktų, nereikia jokių pažangių skaičiavimų ar daug atminties reikalaujančių operacijų. Tai leidžia administratoriams nepertraukiamai naudoti „netflow“ programinę įrangą, neatimant apdorojimo galios iš kitų programų.