假阳性

假阳性（FP）表示假阳性：模型预测为“新型冠状病毒肺炎”，与实际类别“非新型冠状肺炎”不匹配

发件人：数字图像增强与重建,2023

添加到门捷利

假阳性

俄罗斯罗杰斯，英寸 Nessus Network Auditing（第二版）, 2008

解决方案快速通道

☑: A类假阳性当扫描仪（如Nessus）测试漏洞并错误地发现其易受攻击时发生。
☑: 假阳性会浪费时间（你和报告传递给的任何人）。
☑: 误报可以大致分为技术性误报或上下文误报。技术误报指的是扫描仪或插件的问题，而上下文误报则更多地与运行扫描仪的分析师的环境和视角有关。
☑: 通过查找没有意义的结果来发现误报，例如在UNIX服务器上查找Microsoft IIS问题，或者在知道安装了修补程序时查找与修补程序级别相关的问题。
☑: 试着理解这个问题。请参阅邮件列表、网站、在线论坛或本章列出的网站上的原始问题。
☑: 确定误报是由于您的环境造成的，还是插件行为不当。
☑: 使用其他扫描仪手动测试问题是否确实存在，使用浏览器、telnet、Netcat或利用漏洞进行手动验证。
☑: 如果您确定该插件不工作，请禁用该插件，或者在扫描仪的结果中将结果标记为假阳性。
☑: 向插件作者提供有关插件的反馈，这些插件会不断产生误报，或写入Nessus邮件列表。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9781597492089000071

A类假阳性与我们的it安全世界相关的警报是在发生操作或事务时发出的，并且配置了工具来检测该操作，然后发出警报，虽然该操作或事务实际上是合法的流量，或者不是正确的情况，但它应该是一个触发器。当您创建一个规则来捕获看似不好的东西，但发现您环境中的某些应用程序做了您希望检测到的“不好的事情”，作为其正常功能之一时，就会发生这种情况。因为应用程序执行此触发警报的操作并不会使其令人担忧，但您创建的规则将导致误报警报。在那里面在这种情况下，您应该尝试过滤掉已知的正常行为，以减少误报警报的数量。产生误报的另一种方式是，当SOC在安全系统中创建不正确或过路的规则时，导致工具找到太多符合规则条件的内容。有许多其他方法可以从您的工具中生成误报结果，这些只是为什么会发生这种情况的快速示例。同样重要的是要了解假阳性警报可能会产生两种不同的结果。首先，误报可以确定为误报；当它需要不必要的干预来分析和诊断警报时，这是一个错误警报，因为没有任何错误。误报也可能是真正的警报，当创建规则来检测特定类型的流量，并且触发警报时，触发警报的信息与创建警报的信息或原因不同，但本质上仍然不好，需要进一步调查甚至纠正。一个简单的类比是，你的火警器会发出火灾警报，但实际上有洪水。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B97801280089970001X

Snort 2.0简介

杰伊比尔, ...布瑞恩卡斯维尔，英寸 Snort入侵检测2.0, 2003

错误警报

假阳性当Snort向您发出不应该发出的警告时。基本上，假阳性就是假警报。如果您使用Snort的默认规则集，那么您肯定会收到许多错误警报。这可能会触发大量警报，直到您确定与网络相关的内容。网络越开放，您需要监视的警报就越多。

在另一端，你会得到假阴性。换句话说，有人破坏了受Snort监控的系统，而您的Snort系统没有检测到它。您可能认为这不会发生，但当您收到另一个系统管理员发送的描述可疑活动的电子邮件时，您的Snot系统没有发现它，这是一个非常真实的场景。确保您的Snort规则集是最新的，并且您对Snort系统的期望是什么。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9781931836746500075

Snort 2.6简介

在Snort入侵检测和预防工具包, 2007

错误警报

假阳性当Snort向您发出不应该发出的警告时。基本上，假阳性就是假警报。如果您使用Snort的默认规则集，那么您肯定会收到许多错误警报。为什么IDS会这样做？好吧，与其错过可能是严重攻击的数据，不如获得错误警报并通过调整将其减少。因此，新的Snort安装可能会触发大量警报，直到您确定与网络相关的内容。网络越开放，您需要监视的警报就越多。

在另一端，你会得到假阴性。换句话说，有人破坏了受Snort监控的系统，而您的Snort系统没有检测到它。您可能认为这不会发生，但当您收到另一个系统管理员发送的描述可疑活动的电子邮件时，您的Snot系统没有发现它，这是一个非常真实的场景，这种情况通常发生在过时的规则集或尚未编写签名的全新攻击中。确保您的Snort规则集是最新的。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9781597490993500070

结果和讨论

穆罕默德·雷扎·哈利法赫索尔塔尼安,伊拉杰·萨代赫阿米里，英寸防御DDOS攻击的理论和实验方法, 2016

4.2 假阳性和假阴性错误

A类假阳性错误，通常被称为“假警报”，是一种结果，表明给定的条件已经满足，而实际上它还没有满足。另一方面，假阴性错误是指测试结果表明某个条件失败，而实际上它是成功的。

我们定义概率(P−)未检测到攻击流量（即误报错误的概率）和概率(对+)错误检测攻击的概率（即误报错误的概率），其计算公式如下：

对 - = \frac{编号 属于 攻击 不 检测}{总计 数 属于 攻击}

对 + = \frac{编号 属于 点 错误地 检测 作为 攻击}{总计 数 属于 攻击}

我们通过15个独立的Mikrotik设备从网络中的15个不同位置生成虚假数据包，这些数据包表现为攻击。因此，我们实验中的攻击者数量为15人(N个₁–否₁₅在里面图3.1)攻击总数。

如所示表4.3和4.4在实际网络中重复10轮相同实验的结果表明了该算法的准确性和可靠性。请注意，在表4.1、表4.3和表4.5，所有测量都考虑到路由器阈值设置β=4，惯性比α= 0.1. 全部中的测量值表4.2、表4.4和表4.6用于路由器阈值设置β = 3具有惯性比α= 0.1.

表4.5.检测率R（右）_d日对于β=4和α= 0.1

实验次数	1	2	三	4	5	6	7	8	9	10
检测率(R（右）_d日) (%)	93.3	80	93.3	100	100	86.6	93.3	86.6	100	86.6

表4.6.检测率R（右）_d日对于β=3和α= 0.1

实验次数	1	2	三	4	5	6	7	8	9	10
检测率(R（右）_d日) (%)	80	86.6	73.3	86.6	93.3	73.3	73.3	86.6	80	80

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9780128053911000043

探索Sniffer Pro接口

罗伯特·J·。西蒙斯基, ...尤里戈尔季延科，英寸 Sniffer Pro网络优化和故障排除手册, 2002

捕获

要启动Sniffer Pro Expert，必须启动捕获。默认情况下，在捕获数据时实时执行专家分析。如果Sniffer Pro系统不是很强大，您可以选择关闭实时专家。要禁用它，请选择工具|专家选项。单击物体选项卡。取消选中“捕获期间的专家”复选框。这将导致在捕获停止并选择显示功能后进行专家分析。

开始捕获时，Sniffer Pro会打开其专家窗口。此窗口可用于实时监视专家对象、症状和诊断。当您停止并显示捕获时，专家窗口有六个选项卡：专家、解码、矩阵、主机表、协议分发和统计。

假阳性

A类假阳性当网络上没有问题时，Sniffer Pro会认为有问题。如果不能立即识别出假阳性，可能会浪费你的时间。查看Sniffer Pro数据时，请注意误报。网络分析仪为您提供了大量数据，但您的工作是解释数据并将网络上的真实问题与误报分开。

注释

在许多网络上，一个常见的误报是“同一请求上的循环”，表示电台正在重复它已经发出并收到有效响应的请求。这种结果也可能是由低效的应用程序造成的。例如，一些X Windows应用程序不断检查鼠标光标的位置，这会导致误报。

另一个常见的误报是“WINS无响应”，表示WINS服务器没有在合理的时间内响应客户端查询。如果客户端计算机尝试访问不存在的NetBIOS系统，则可能会发生此响应。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9781931836579500071

Cisco防火墙/IDS IOS

在Cisco Security Professional安全入侵检测系统指南, 2003

不包括主机或网络的签名

全局禁用特征码的一个主要缺点是，不再跟踪网络流量，以发现具有特定特征码的入侵。当你有一个混合的环境时，情况尤其如此。你可能会收到很多假阳性来自基于Windows的主机，但全局禁用签名将使这些基于UNIX的主机易受攻击。排除主机或网络的签名将确保在基于UNIX的主机上发生攻击时，能够检测到攻击并采取措施。以下示例显示如何排除特定主机的签名。

我们回到普林斯合伙公司图11.3，我们看到路由器将Prince Partners LAN连接到Internet。路由器充当防火墙/IDS设备，启用所有签名，并保护网络172.16.20.0/24。Serverl是一台Windows 2000 Exchange服务器，到该服务器的流量正在为签名6155（已装入的Portmap请求签名）创建误报。生成的报警是误报，因为Serverl没有运行mountd，因此不易受到此入侵的攻击。Server2是一台UNIX服务器，可能容易受到此攻击，仍必须跟踪到此服务器的流量以获取特征码6155。

为了防止Serverl上出现误报，我们将从该签名中排除Serverl，并使用以下命令执行此操作：

路由器1（配置）#ip审计签名6155列表10

路由器1（配置）#ip访问列表标准10

路由器1（config-std-nacl）#拒绝主机172.16.20.3

路由器1（config-std-nacl）#pernit any

路由器1（config-std-nacl）#end

路由器1#

在这个例子中，我们看到ip审计签名命令指的是标准访问列表，该列表指定在跟踪签名6155的网络流量时要排除哪些主机。在这里，我们已经排除了Serverl，并允许所有其他主机。请记住，在访问列表的末尾有一个隐式拒绝。如果我们没有使用允许任何语句，则所有主机都将从该签名中排除。

您可以使用以下命令再次使用签名来跟踪到Server1的流量：

路由器1（配置）#无ip审计签名6155列表10

路由器1（配置）#无访问列表10

路由器1（配置）#end

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9781932266696500318

数据整合和集成

大卫洛欣，英寸主数据管理，2009年

10.6.5 历史和世系

知道这两者假阳性如果出现假阴性，则指示包含一种方法，以在确定发生错误时回滚对主对象的修改。启用此功能最明显的方法是维护与每个主数据值关联的完整历史记录。换言之，每次修改主记录中的值时，系统必须记录所做的更改、修改的来源（例如，触发修改值的数据源和规则集）以及进行修改的日期和时间。使用此信息，当检测到错误存在时，沿袭服务可以遍历任何主数据对象的历史记录，以确定在哪一点进行了导致错误的更改。

解决错误更为复杂，因为不仅需要通过将数据值回滚到引入错误的时间点来解决错误，而且还必须识别并回滚依赖于有缺陷主记录的任何其他修改。最全面的沿袭框架将允许从回滚点进行回溯和前向跟踪，以找出并解决已识别缺陷可能触发的任何可能错误。然而，如果业务需求不坚持完全一致，则前向跟踪可能会过度——在这种情况下，唯一相关的错误是那些阻止业务任务成功完成的错误；在实际使用受影响的记录之前，可能不需要主动解决潜在问题。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B978012374225000102

Ourmon：异常检测工具

克雷格·A。席勒, ...迈克尔十字架，英寸扑网, 2007

10.10.10.10

这里我们有一个假阳性，很可能。这个H（H）flag表示看到了一个Web源端口，并且可以肯定的是，L3S/src显示了一个源端口，即端口80。SA/S也是100%，这表示可能是服务器。端口签名本身具有随机的高端口，这表示动态分配的客户端端口。Web服务器有时会出现在基本端口报告中。当然，我们能说的最有力的一点是，工作重量本身只有17%。因此，它很低，并不令人担忧。我们从PSU的统计研究中了解到，工作重量分为两组。通常，它们的范围在0到30%之间或大于70%。前者在非零时，表示具有多线程应用程序的主机可以打开多个线程以提高效率，但不幸的是，TCP控制包与数据包的比率很高（这包括主机上的Web服务器和P2P客户端）。如果TCP端口报告的几个实例的数量超过70%，那么您可能有一个扫描仪，尽管客户端总是有可能出现某种问题（例如没有服务器）。稍后我们将更多地讨论假阳性。这是一个Web服务器。

查看章节浏览书籍

阅读完整章节

网址：https://www.sciencedirect.com/science/article/pii/B9781597491358500093

社会感知的置信范围

东王。。。兰斯卡普兰，英寸社会感知, 2015

可扩展性研究

估计的可扩展性假阳性/首先评估了与传感拓扑有关的负值。第一个实验评估了当源数量（即。，M（M）)在系统中发生变化。正确和错误声明的数量分别固定为1000个，每个来源的平均观察数设置为200个。来源数量从10个到150个不等。报告的结果是100个实验的平均值，如所示图6.17观察到，随着源数量的变化，估计的假阳性和假阴性都会准确跟踪实际值。我们还注意到，假阳性/假阴性随着震源数量的增加而减少。第二个实验比较了当索赔数量（即。，N个)更改。震源数量固定为50个，每个震源的平均观测次数设置为200个。真假索赔数量保持不变。索赔数量从1000件到2000件不等。报告的结果是100个实验的平均值，如所示图6.18注意，当索赔数量发生变化时，估计的误报/漏报能够正确跟踪实际值。我们还注意到，估计性能随着索赔数量的增加而降低。原因是：随着索赔数量的增加，传感拓扑变得更加稀疏，而每个源的源数量和观测值保持不变。