Aprovechando las Unidades de Procesamiento de Datos (DPUs) desplegadas en las interfaces de red, el Sistema de Detección de Intrusiones (IDS) acelerado por DPU permite la inspección inicial del tráfico con latencia de microsegundos a través de la descarga de hardware. Sin embargo, al generar alertas de alto rendimiento, este mecanismo amplifica los problemas inherentes de redundancia y ruido de los sistemas IDS tradicionales. Este documento propone un método de correlación de alertas utilizando la agregación de factores de similitud múltiple y un modelo de árbol sufijo. Primero, las alertas se preprocesan utilizando LFDIA, empleando múltiples factores de similitud y umbrales dinámicos para agrupar alertas correlacionadas y reducir la redundancia. A continuación, se genera una serie temporal de intensidad de ataque que se suaviza con un filtro de Kalman para eliminar el ruido y revelar tendencias de ataque. Finalmente, el árbol sufijo modela las actividades de ataque, capturando rutas de comportamiento clave de alertas de alta severidad e identificando patrones de atacantes. Las evaluaciones experimentales en los conjuntos de datos CPTC-2017 y CPTC-2018 validan la efectividad del método propuesto para reducir la redundancia de alertas, extraer comportamientos críticos de ataque y construir secuencias de actividad de ataque. Los resultados demuestran que el método no solo reduce significativamente el número de alertas, sino que también revela con precisión las características centrales del ataque, mejorando la efectividad de las estrategias de defensa de seguridad en la red.