Wer zum ersten Mal Intrusion Detection Systeme aufgebaut hat, wird in der Regel von der Anzahl der Event überschüttet. Es ist nahezu unmöglich, aus der Menge an Ereignissen die wirklich sicherheitsrelevanten Meldungen zu erkennen. Dazu bedarf es Auswertungsmechanismen, die in einer sog. Normalisierungsphase angepasst werden müssen. Während dieser Phase soll festgestellt werden, welche Ereignisse normal und erlaubt sind und welche Ereignisse False Positives sind.

Die Auswertung muß in der Lage sein, Events zu korrelieren und zu einem übergeordneten Event zusammenzufassen. Die Umsetzung dieser Anforderung wird insbesondere bei Verwendung mehrerer Event-Quellen von Systemen unterschiedlicher Hersteller zur anspruchsvollen Aufgabe. Nehmen wir als Beispiel einen Angriff aus dem Intranet einer Firma. Ein frustrierter Mitarbeiter versucht, den Webserver der Personalabteilung anzugreifen. Er erhofft sich dadurch Zugang zum verbundenen Datenbanksystem. Nehmen wir weiter an, dass der Webserver in einem durch eine Firewall geschützten Netzsegment platztiert ist. Ein der Firewall nachgelagerter NIDS-Sensor sowie ein auf dem Webserver installierter HIDS-Sensor sollen für eine umfassende Einbruchserkennung sorgen.

Der Angreifer versucht mit Hilfe eines speziell forumlierten HTTP Aufrufs, eine bekannte Schwachstelle des Webservers auszunutzen. Je nach Firewall-Typ und Konfiguration wird bereits die Firewall einen Logeintrag zu diesem Aufruf erzeugen. Der nachgelagerte NIDS-Sensor, als auch der HIDS-Sensor melden ebenfalls einen Einbruchsversuch. Im überwachten Log des Webservers wird ebenfalls ein Eintrag erzeugt, der durch ein Auswertungssystem ebenfalls einen Alarm erzeugen wird. Je nach Webserver und Konfiguration kommt es sogar noch zu einem Eintrag in das Log des Betriebssystems. Es ergeben sich aus diesem Angriff bereits 4-5 Alarme, die durch ein Korrelierungs-System zu einem Event zusammengefasst werden.

Ist der HTTP Aufruf lediglich Bestandteil eines Scans mit einem Security-Scanner, sollte das Auswertungssystem in der Lage sein, die Events aggregieren und einen neuen übergeordneten Event zu generieren. Der Event sollte anhand von Einstellungen priorisiert werden. Hat das System erkannt, dass die Angriffe keine Auswirkung auf das Zielsystem hatten, erfolgt eine niedrigere Priorisierung als wenn der Angriff erfolgreich war.

In jüngster Zeit versuchen einige Anbieter diesen Anforderungen gerecht zu werden. Dem Käufer solcher Systeme sollte jedoch klar sein, dass die Einführung solcher Systeme sowohl kostspielig als auch zeitaufwändig ist. Trotz ausgeklügelter Technik wird es jedoch immer zu Alarmen kommen, die durch ein Security Team ausgewertet werden müssen und sich letztlich als False Positive herausstellen. Diese Aufgabe wird zunehmend durch externe Dienstleister erbracht, die in einer Alarmzentrale die Bearbeitung von Alarmen übernehmen.