I samband med intrångsdetekteringssystem (IDS) representerar falska positiva och falska negativa fel i systemets förmåga att exakt identifiera intrång:
* Falskt positivt: Ett falskt positivt inträffar när ID:erna flaggar en händelse som skadlig (en intrång) när den faktiskt är godartad. Detta innebär att systemet felaktigt höjde en varning. Tänk på det som ett "vargskrik" som visar sig vara ingenting.
* Exempel: En legitim intern användare som får åtkomst till en databas vid en ovanlig tid kan utlösa en varning om ID:erna är konfigurerade för känsligt. Denna aktivitet, även om den kanske är misstänksam, kan vara helt normal för den användarens roll.
* Falsk negativ: Ett falskt negativt inträffar när ID:erna inte upptäcker en äkta intrång eller skadlig aktivitet. Detta är en missad varning som potentiellt lämnar ditt system sårbart. Tänk på det som "vargen" som faktiskt dyker upp, men ingen märker.
* Exempel: En sofistikerad angripare kan använda en nolldagars exploit (en sårbarhet som ännu inte är känd för ID:erna) eller undvika upptäckt genom snygga tekniker. ID:erna skulle inte registrera attacken.
Balansen mellan falska positiver och falska negativ är avgörande för effektiv IDS -implementering. Ett system med för många falska positiver kan leda till "varna trötthet", där administratörer ignorerar varningar på grund av deras stora volym. Omvänt lämnar en hög frekvens av falska negativa systemet sårbara för verkliga attacker som inte upptäcks. Att hitta den optimala balansen kräver noggrann inställning av ID:erna och en grundlig förståelse av den miljö som den övervakar.
