جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

تعریف False Positive و False Negative در IPS/IDS چیست؟

False Positive چیست؟ False Negative چیست؟ چه تفاوتی بین این دو مفهوم در سیستم های تشخیص و جلوگیری از نفوذ وجود دارد؟  تفاوت True Negative با True Positive چیست؟ زمانی که با IPS/IDS کار می کنیم با واژه هایی سرو کار خواهید داشت به طور مثال گفته می شود که سنسور False positive دارد. به همین خاطر باید این منظور این واژه ها را درک کنیم. این واژه های به شرح زیر هستند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • False positive : منظور از false positive زمانی است که سنسور ترافیک سالم را به عنوان ترافیک مخرب شناسایی کند و با توجه به نوع action تعیین شده نسبت به این ترافیک اقدام می کند. در صورتی یکی از action های deny برای آن signature تعیین شده باشد جلوی ترافیک سالم ما گرفته خواهد شد و امکان عبور به آن داده نمی شود یا در صورتی که برای آن action هایی برای log گرفتن درنظر گرفته شده باشد باعث تولید log ها و alert های بی جهت خواهد بود که در هنگام بررسی log ها و alert ها می تواند برای مدیر سیستم مزاحمت ایجاد کند. در کل داشتن false positive زیاد در شبکه روی عملکرد شبکه تاثیر منفی دارد و به شکلی باید شناسایی ، بررسی و مدیریت شود.
  • False negative : منظور از False negative زمانی است که ترافیک مخرب توسط سنسور شناسایی نمی شود. در این حالت شبکه ما در خطر قرار می گیرد چون ترافیک مخرب بدون اینکه شناسایی شود و جلوی آن گرفته شود از شبکه ما عبور می کند و می تواند به منابع شبکه ما آسیب وارد کند. این عدم شناسایی ترافیک مخرب می تواند به دلایل مختلف صورت گیرد به طور مثال signature های سنسور update نشده باشد و signature های جدید دریافت نشده باشد یا تنظمیات سنسور به درستی انجام نشده باشد و به این خاطر سنسور نتوانسته است که به درستی عمل کند یا این ترافیک مخرب مربوط به یک روش جدید می باشد که هنوز روشی برای مقابله با آن در نظر گرفته نشده است.
  • True positive : زمانی که ترافیک مخرب به درستی توسط سنسور شناسایی می شود True positive رخ داده است یعنی سنسور با استفاده از تنظمیات و Signature هایی که دارد توانسته است شبکه ما را در برابر ترافیک مخرب که قصد آسیب زدن به شبکه ما را داشته است محافظت کند.
  • True negative : زمانی که سنسور ترافیک سالم شبکه را بررسی کرده و در آن مشکلی پیدا نمی کند و اجازه عبور به آن ترافیک را می دهد True negative رخ داده است. در اینجا سنسور بدرستی عمل کرده است چون ترافیک سالم است و باید اجازه عبور از شبکه را پیدا کند.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات