こんばんわ！
今日もCNDの勉強をしていきます。

今回は、「IDSアラートのフォルスポジティブとフォルスポジティブ」についてまとめていきます

IDSアラートのタイプ

トゥルーポジティブ

本当に攻撃が発生したときにアラートが発生しました

フォルスポジティブ

攻撃が発生しなかったのにアラートが発生しました

フォルスネガティブ

本当の攻撃が発生したのにアラートが発生しませんでした

フォルスポジティブ

攻撃が発生しなかったのにアラートが発生しませんでした

フォルスアラートの取り扱い

フォルスアラート（誤診断）はできるだけ最小にする必要があります！

IDSのチューニングをせずに展開していた場合、90％でフォルスアラートが発生するといわれてます。。なので、チューニングは必須となります。

発生率は下記の計算で求めます

フォルスポジティブの発生率
　　⇒　フォルスポジティブ　/ 　（フォルスポジティブ・トゥルーネガティブ）

フォルスネガティブの発生率
　　⇒　フォルスネガティブ　/ 　（フォルスネガティブ・トゥルーポジティブ）

また、フォルスアラートは下記の要因が考えられます

・反動的なトラフィック

・ネットワーク機器

・プロトコル違反

・IDSソフトウェアのバグ

・悪意のないトラフィック

・設計ミス

・ゼロデイ攻撃

・不適切なシグネチャ

まとめ

ここまでです。

真偽表は診断する際にはとても良い判断基準となりますね。。
やっぱりわかりやすく結果を区分することができるので重宝しますね。。

ここまで読んでいただきありがとうございました。