19 septembre, 2005
Faux positifs et faux négatifs
Lorsqu’une alerte est generee à la suite d’une activité normale, elle est appelée faux positif. Les faux positifs exaspèrents les analystes d’IDS parce qu’ils font perdre des ressources et un temps précieux. En réglant l’IDS sur le comportement du réseau, vous réduisez leur nombre à un taux raisonnable.
Un IDS doit normalement générer un nombre raisonnable de faux positifs. S’il n’en génère aucun, il y a de bonnes chances pour que de faux positifs. S’il n’en génère aucun, il y a de bonnes chances que de faux négatifs se produisent. Un faux négatif est l’inverse d’un faux positif; dans ce cas, l’IDS n’a pas détecte une attaque réelle. Il est préférable qu’un IDS génère du « bruit » en arrière-plan à cause de faux positifs plutôt qu’il ne détecte pas de faux négatifs C’est pour désactiver il est préférables de pêcher par excès de prudence et de régler l’IDS pour désactiver certains faux positifs afin d’être averti des faux négatifs.
Compteur Web
