就IDS的準確性而言,觀察到的每個活動都有四種可能的狀態。
. 一個真正的積極狀態(true positive)是當IDS識別的活動作為攻擊和活動實際上是一種攻擊。真正的肯定是成功識別了攻擊。
. 一個真正的負狀態(true negative)是相似的。這是IDS將活動標識為可接受的行為並且該活動實際上是可接受的。真正的否定就是成功地忽略了可接受的行為。由於IDS的運行符合預期,因此這兩種狀態均無害。
. 假陽性狀態(false positive)是當IDS標識活性作為攻擊,但活性是可接受的行為。誤報是錯誤的警報。
. 假陰性狀態(false negative)是最嚴重,最危險的狀態。當活動實際上是攻擊時,IDS將該活動標識為可接受的活動。也就是說,誤報是指IDS無法捕獲攻擊。這是最危險的狀態,因為安全專業人員不知道發生了攻擊。另一方面,誤報充其量是不便之處,並且可能導致重大問題。但是,只要有適當的開銷,就可以成功地裁定誤報。假陰性不能。
來源:入侵檢測(OWASP)
卓建全(Cho,Chien-Chuan)
iThome鐵人賽
看影片追技術