La correlazione viene utilizzata per ridurre i falsi positivi. I sistemi di rilevamento delle intrusioni sono noti per generare un numero elevato di falsi positivi a causa del rilevamento basato sull'anomalia. In caso di IDS basato su firma, la percentuale di falsi positivi viene ridotta ma la capacità di rilevamento è limitata ai soli attacchi noti per i quali IDS ha la firma di rilevamento.
Se non si correlano le informazioni e si analizzano gli eventi da IDS basati su host e IDS di rete individualmente, non si perderanno alcun attacco. Tuttavia, correlare i due eventi renderà la vita dell'analista molto più semplice.
Inoltre, la correlazione degli eventi ti aiuterà a stabilire la priorità degli attacchi rilevati. Ad esempio, un pattern di attacco per il sistema operativo Windows XP rilevato dal NIDS genererà un avviso sull'interfaccia NIDS. Tuttavia, se l'IP di destinazione è una macchina Linux, non è necessario essere allarmati perché l'attacco è destinato a fallire.
La linea di fondo è, se si vuole ridurre il tasso di falsi positivi e assicurarsi che solo quegli eventi siano rilevati e messi in atto dall'analista che hanno un'alta probabilità di veri positivi, correlare gli eventi da HIDS e NIDS.