Традиционно, сетевые администраторы вручную обрабатывают сообщения тревоги от систем обнаружения вторжений для получения высокоуровневого описания кибератак. Если число тревог становится очень большим, то используются инструменты автоматической кластеризации, предоставляющие высокоуровневое описание сценария атаки. Кроме того, как показывается, эффективный анализ угроз требует слияния данных от различных источников информации. Предлагается новая стратегия для выполнения кластеризации тревожных сообщений, которая предоставляет унифицированное описание атак из сообщений, поступающих от различных систем обнаружения вторжений.