【机器学习】混淆矩阵（confusion matrix）TP TN FP FN

positive是攻击 negative是正常

这四个是**混淆矩阵（confusion matrix）**里的基本计数，衡量分类结果和真实标签的对应关系。

二分类（只有"正/负"两类）时

真实\预测	预测为正(attack)	预测为负(normal)
真实为正(attack)	TP（True Positive，真正）模型把攻击判成攻击	FN（False Negative，假负/漏报）模型把攻击判成正常
真实为负(normal)	FP（False Positive，假正/误报）模型把正常判成攻击	TN（True Negative，真负）模型把正常判成正常

常见派生指标（供你对照前面公式）：

注意："正类（Positive）"是谁要先定义清楚 。在安全场景里，通常把攻击视为正类、正常为负类。

100 个样本里有 20 个攻击、80 个正常。
模型抓到 18 个攻击（其中 2 个其实是正常），漏掉 2 个攻击；把 78 个正常判对。
- TP=18（真攻判攻）
- FP=2（正常判攻 → 误报）
- FN=2（攻判正常 → 漏报）
- TN=78（正常判正常）

这样你就能把任何结果表转换成 TP/TN/FP/FN，再按需要算 accuracy、macro_f1、macro_precision、macro_recall、macro_fpr 等。

给你一套"1 张图 + 3 口诀 + 4 步法"，快速吃透并记住 TP/TN/FP/FN 及常用指标。

把行=真实 、列=预测刻在脑子里👇

复制代码

                预测 Positive   预测 Negative
真实 Positive      TP(真正)         FN(漏报)
真实 Negative      FP(误报)         TN(真负)

只要记住：P 行列是"正(Positive)"；

"报出来的准不准------看 Precision（纯度）"

( \textbf{Precision} = \frac{TP}{TP+FP} )

想象 SOC 告警列表：越少 FP，越"纯"。
"该抓的抓到了没------看 Recall（覆盖）"

( \textbf{Recall} = \frac{TP}{TP+FN} )

真攻击里有多少被抓到；越少 FN，越不漏。
"正常流量被冤枉没------看 FPR（误报率）"

( \textbf{FPR} = \frac{FP}{FP+TN} )

在所有真实正常里被误判为攻的比例；边缘/线上最敏感。

F1（调和平均）= 在"纯度 vs 覆盖"之间求平衡：

( \textbf{F1} = 2\cdot\frac{\text{Prec}\cdot\text{Rec}}{\text{Prec}+\text{Rec}} )

Step 1 ：画 2×2 表（行真列预）。
Step 2 ：把样本逐条或按数量填入四格 → 得到 TP/FP/FN/TN。
Step 3：按需代入公式：

"行真列预，TPTN 对；FP 误报，FN 漏报；纯度看 P，覆盖看 R，打平看 F1，扰民看 FPR。"