Количество киберпреступлений увеличилось, и многие технологии, такие как искусственный интеллект и глубокое обучение, блокчейн-кибербезопасность, нулевое доверие, модель и т. д., используются для пресечения этих киберпреступлений. В этой статье мы обсудим роль матрицы путаницы в IDS.

Во-первых, давайте узнаем о матрице путаницы.

Что такое матрица путаницы?

Матрица путаницы используется для оценки производительности модели классификации в машинном обучении. Это квадратная матрица, содержащая различные комбинации прогнозируемых и фактических значений. Эти комбинации помогают классифицировать правильные и неправильные случаи в моделях машинного обучения. Матрица ниже представляет собой представление матрицы путаницы.

давайте обсудим термины, данные в приведенной выше матрице.

  1. Истинный положительный результат (TP): прогнозируемое значение является положительным, и фактическое значение также является положительным (например, пациент правильно диагностирован как больной).
  2. Ложноположительный результат (FP): прогнозируемое значение положительное, но фактическое значение отрицательное (например, у пациента ошибочно диагностировано заболевание). Он представляет собой ошибку I рода.
  3. Ложноотрицательный (FN): прогнозируемое значение отрицательное, но фактическое значение не является отрицательным (например, у пациента ошибочно диагностировано отсутствие заболевания). Представляет собой ошибку второго рода.
  4. Истинно отрицательный (TN): прогнозируемое значение отрицательное, а фактическое значение также отрицательное (например, у пациента правильно диагностировано отсутствие заболевания).

Роль матрицы путаницы в IDS

Система обнаружения вторжений (IDS) — это технология сетевой безопасности, изначально созданная для обнаружения использования уязвимостей в целевом приложении или компьютере. Система отслеживает активность в сети подключенных компьютеров, чтобы анализировать активность на предмет навязчивых шаблонов.

IDS обычно оценивают по ее способности точно прогнозировать атаки. Матрица путаницы — лучший способ представить результаты классификации IDS.

В случае бинарного классификатора IDS возможны четыре возможных исхода.

  1. Истинно положительный (TP): вторжения, успешно обнаруженные IDS.
  2. Ложное срабатывание (FP): нормальное/ненавязчивое поведение, которое IDS ошибочно классифицирует как навязчивое.
  3. Истинно отрицательный (TN): нормальное/ненавязчивое поведение, которое IDS успешно помечает как нормальное/ненавязчивое.
  4. Ложноотрицательный (FN): вторжения, которые были пропущены IDS и классифицированы как нормальные/неинтрузивные.

Четыре экземпляра (TP, TN, FP и FN) являются результатом сравнения двух фактических классов с двумя предсказанными классами. Различные показатели производительности определяются с точки зрения переменных матрицы путаницы, которые полезны для сравнения IDS.

  • Точность. Это доля экземпляров данных, предсказанных как положительные, которые на самом деле являются положительными.

  • Коэффициент ложных срабатываний (FPR): он определяется как отношение количества обычных случаев, обнаруженных как атака, к общему количеству нормальных случаев.

  • Точность: определяется как отношение правильно классифицированных экземпляров к общему количеству экземпляров.

  • Отзыв: также известен как уровень обнаружения. Он рассчитывается как отношение количества правильно обнаруженных атак к общему количеству атак.

  • F-мера (FM): для заданного порога FM является гармоническим средним значением точности и полноты при этом пороге.