こんばんわ!
今日もCNDの勉強をしていきます。
今回は、「IDSアラートのフォルスポジティブとフォルスポジティブ」についてまとめていきます
IDSアラートのタイプ
トゥルーポジティブ
本当に攻撃が発生したときにアラートが発生しました
フォルスポジティブ
攻撃が発生しなかったのにアラートが発生しました
フォルスネガティブ
本当の攻撃が発生したのにアラートが発生しませんでした
フォルスポジティブ
攻撃が発生しなかったのにアラートが発生しませんでした
フォルスアラートの取り扱い
フォルスアラート(誤診断)はできるだけ最小にする必要があります!
IDSのチューニングをせずに展開していた場合、90%でフォルスアラートが発生するといわれてます。。なので、チューニングは必須となります。
発生率は下記の計算で求めます
フォルスポジティブの発生率
⇒ フォルスポジティブ / (フォルスポジティブ・トゥルーネガティブ)
フォルスネガティブの発生率
⇒ フォルスネガティブ / (フォルスネガティブ・トゥルーポジティブ)
また、フォルスアラートは下記の要因が考えられます
・反動的なトラフィック
・ネットワーク機器
・プロトコル違反
・IDSソフトウェアのバグ
・悪意のないトラフィック
・設計ミス
・ゼロデイ攻撃
・不適切なシグネチャ
まとめ
ここまでです。
真偽表は診断する際にはとても良い判断基準となりますね。。
やっぱりわかりやすく結果を区分することができるので重宝しますね。。
ここまで読んでいただきありがとうございました。