Snortで生成された署名の混同マトリックス
IDSで署名を作成するときに、どのようにして真陽性および偽陰性のレートを取得できますか?署名の効率をどのように測定しますか?私は同じことを論じる非常に多くの論文を見てきましたが、どうやってこれらの数字を思いつくのでしょうか?
署名の効率をどのように測定しますか?
誤検知が多すぎると、ユーザーは正当なサイトへのアクセスを拒否されて影響を受けます。一方、偽陰性により、攻撃者はフィルターをバイパスしてインフラストラクチャを攻撃することができます。そのため、偽陽性/陰性率が最も低いIDSは、他のIDSよりも優れています。
彼らはどのようにこれらの数を考え出しますか?
悪意のあるクリーンなURLのリストを作成し、IDSに送信して結果を記録します。これは、偽陽性と陰性の量を取得する方法です。
ログファイルをチェックして手動で悪意のあるかどうかのラベルを付けることで、同じリストを作成できます。これらのラベルをIDSログファイルと照合すると、混乱マトリックスができます。