Eine Auswertung eingehender Verbindungen auf geschlossenen Ports direkt auf den betroffenen Produktivsystemen würde jedoch auch ein erhöhtes Sicherheitsrisiko sowie einen zusätzlichen Ressourcenbedarf für das Produktivsystem bedeuten. Gleichzeitig ergäbe sich so ein ähnlicher administrativer Aufwand durch nötige Aktualisierungen wie durch den Einsatz dedizierter Honeypots. Schließlich würde durch den Einsatz von Honeypot-Software auf Produktivsystemen ein zusätzliches Sicherheitsrisiko für die betroffenen Systeme entstehen. Denn schließlich könnte es Angreifern gelingen, Sicherheitslücken in der Honeypot-Software auszunutzen, um so auf das Produktivsystem zuzugreifen.
Um dies zu vermeiden und gleichzeitig eine zentrale Auswertung der unerwünschten Verbindungen zu ermöglichen, verwendet HoneypotMe eine separate, dedizierte Analysekomponente. Unerwünschte Verbindungen leitet HoneypotMe transparent von den Produktivsystemen an diese Analysekomponente weiter, die sie anschließend annimmt und detailliert auswertet. Um alle Informationen zu erhalten, die auch direkt am betroffenen Produktivsystem anfallen, werden solche Verbindungsaufbauversuche von HoneypotMe transparent an die Analysekomponente getunnelt.
Antwortnachrichten gelangen anschließend über den Tunnel zurück an das angegriffene System, das sie an das angreifende System weiterleitet. Der Vorteil solcher getunnelter Verbindungen gegenüber einer Proxy-Lösung besteht darin, dass die Analysekomponente sowohl Informationen über das angreifende als auch über das angegriffene System erhält. Darüber hinaus bleiben alle in den Verbindungsdaten enthaltenen Metadaten, insbesondere die Paket-Header, erhalten, aus denen sich weitere Informationen über das angreifende System ableiten lassen.
Eine wesentliche Herausforderung bei der Weiterleitung einzelner Ports von Produktivsystemen zu der Analysekomponente ist die Auswahl der weiterzuleitenden Ports. Zwar ist auf einigen Ports keine reguläre Interaktion zu erwarten, doch unterscheiden sich diese Ports von Betriebssystem zu Betriebssystem und je nach Einsatzzweck des Hosts. Sie lassen sich daher nicht verallgemeinern. So ist es zwar beispielsweise unwahrscheinlich, dass der Port 1439 des MS-SQL-Datenbankservers auf Linux-Systemen für produktive Zwecke eingesetzt wird. Jede Interaktion mit diesem Port ließe sich demnach analog zum Konzept klassischer Honeypots generell als bösartige Interaktion ansehen. Unter Windows sähe die Sache aber anders aus. Darüber hinaus kann die Menge der produktiv verwendeten Ports über den Beobachtungszeitraum variieren.