Агрегирование
После консолидации событий начинается процесс их агрегирования, т.е. группирования однотипных событий вместе, что позволяет получить на экране вместо 10000 повторяющихся строк "UDP-Scan" или "SQL_SSRP_StackBo" (краткое название атаки Slammer в системе RealSecure Network 10/100) всего лишь одну строчку, которая дополнена новым параметром "число событий" (см. Таблицу 3).
Таблица 3. Снижение объема информации, отображаемой на консоли
Степень риска | Событие | Число событий | Источник |
Низкая | UDP-Scan | 11385 | 194.98.93.252 |
Высокая | Backdoor-BO2k | 1 | 194.98.93.252 |
Высокая | SQL_SSRP_StackBo | 1567 | 139.92.229.160 |
: | : | : | : |
Иными словами, агрегирование облегчает отображение данных и их анализ. Но и этого недостаточно. Агрегирование не спасает от появления сообщений об атаках, которые не несут с собой никакой угрозы. Нужна более интеллектуальная обработка событий, которую дает механизм корреляции.