Im Kontext von Intrusion Detection Systems (IDS) stellen falsch positive und falsch negative Fehler in der Fähigkeit des Systems, Intrusionen genau zu identifizieren:
* Falsch positiv: Ein falsches Positiv tritt auf, wenn die IDs ein Ereignis als böswillig (ein Eindringen) kennzeichnet, wenn es tatsächlich gutartig ist. Dies bedeutet, dass das System fälschlicherweise eine Warnung erhöht. Betrachten Sie es als "Wolfsschrei", der sich als nichts herausstellt.
* Beispiel: Ein legitimer interner Benutzer, der zu einer ungewöhnlichen Zeit auf eine Datenbank zugreift, kann eine Warnung auslösen, wenn die IDs zu sensibel konfiguriert sind. Diese Aktivität könnte zwar misstrauisch, aber für die Rolle dieses Benutzers ganz normal sein.
* falsch negativ: Ein falsches Negativ tritt auf, wenn die IDs keine echte Eindringung oder böswillige Aktivität erkennen. Dies ist eine verpasste Warnung, die möglicherweise Ihr System anfällig lässt. Betrachten Sie es als den "Wolf", der tatsächlich erscheint, aber niemand merkt es.
* Beispiel: Ein ausgefeilter Angreifer könnte einen Zero-Day-Exploit (eine noch nicht bekannte Verwundbarkeit der IDs) verwenden oder die Erkennung durch verstohlene Techniken entziehen. Die IDs würden den Angriff nicht registrieren.
Das Gleichgewicht zwischen falsch positiven und falschen Negativen ist für eine effektive IDS -Implementierung von entscheidender Bedeutung. Ein System mit zu vielen Fehlalarmen kann zu "Alarmermüdung" führen, bei der Administratoren aufgrund ihres bloßen Volumens Warnungen ignorieren. Umgekehrt lässt eine hohe Rate falscher Negative das System anfällig für reale Angriffe, die unentdeckt werden. Das Finden des optimalen Gleichgewichts erfordert eine sorgfältige Abstimmung der IDs und ein gründliches Verständnis der Umwelt, die sie überwacht.
