Los Sistemas de Detección de Intrusiones (IDS) analizan automáticamente registros de eventos y tráfico de red para detectar actividades maliciosas y violaciones de políticas. Dado que los IDS tienen un gran número de falsos positivos y falsos negativos y la naturaleza técnica de sus alertas requiere mucho análisis manual, los investigadores propusieron enfoques que automatizan el análisis de alertas para detectar ataques a gran escala y predecir los próximos pasos del atacante. Desafortunadamente, muchos de estos enfoques utilizan conjuntos de datos y métricas de éxito únicos, lo que dificulta la comparación. Esta encuesta proporciona una visión general del estado del arte en la detección y proyección de escenarios de ciberataques, con un enfoque en la evaluación y las métricas correspondientes. Se recopilan documentos representativos utilizando búsquedas en Google Scholar y Scopus. Se calculan métricas de éxito mutuamente comparables y se proporcionan varias tablas de comparación. Nuestros resultados muestran que las métricas comúnmente utilizadas están saturadas en conjuntos de datos populares y no pueden evaluar la usabilidad práctica de los enfoques. Además, los enfoques con bases de conocimiento requieren mantenimiento constante, mientras que los enfoques de minería de datos y aprendizaje automático dependen de la calidad de los conjuntos de datos disponibles, que, en el momento de la escritura, no son lo suficientemente representativos para proporcionar conocimiento general sobre escenarios de ataque, por lo que se necesita poner más énfasis en investigar el comportamiento de los atacantes.