|-------|-------|------|------|
| || 预测标签 ||
| || 恶意流量 | 正常流量 |
| 真实 标签 | 恶意 流量 | TP | FN |
| 真实 标签 | 正常 流量 | FP | TN |
网络安全恶意流量 / 入侵检测场景的标准 2×2 混淆矩阵,先明确核心基准定义:
- 正例(Positive, P) :检测系统的核心目标 ------恶意流量 / 攻击行为
- 负例(Negative, N) :常规背景样本 ------良性流量 / 正常业务流量
- True(T):模型预测结果与真实标签完全一致(预测正确)
- False(F):模型预测结果与真实标签不一致(预测错误)
四个指标的标准定义 + 场景化详解
1. TP(True Positive,真正例 / 真阳性)
- 标准定义 :真实标签为正例(恶意流量),模型预测结果也为正例(恶意流量),即预测正确的恶意流量样本。
- 场景化解释:真实是攻击行为 / 恶意流量,模型准确识别出了威胁,成功完成攻击检出,是入侵检测系统的核心有效产出。
- 行业俗称:正确检出、攻击命中。
2. FN(False Negative,假负例 / 假阴性)
- 标准定义 :真实标签为正例(恶意流量),模型预测结果为负例(良性流量),即把恶意流量错判为良性流量,属于核心风险类错误 ------ 漏检 / 漏报。
- 场景化解释:真实是正在发生的攻击 / 恶意流量,但模型没有识别出来,将其当成正常流量放行,会导致系统被入侵、数据泄露而无感知,是网络安全检测场景中优先级最高的优化目标。
- 行业俗称:漏报、漏检。
3. FP(False Positive,假正例 / 假阳性)
- 标准定义 :真实标签为负例(良性流量),模型预测结果为正例(恶意流量),即把良性流量错判为恶意流量,属于影响可用性的错误 ------ 误检 / 误报。
- 场景化解释:真实是正常的业务访问、合法用户流量,但模型误判为攻击并触发告警,会导致正常业务被拦截、运维人员被海量无效告警淹没,是检测系统落地中最影响使用体验的核心问题。
- 行业俗称:误报、虚警。
4. TN(True Negative,真负例 / 真阴性)
- 标准定义 :真实标签为负例(良性流量),模型预测结果也为负例(良性流量),即预测正确的良性流量样本。
- 场景化解释:真实是正常的业务流量,模型准确识别为良性并正常放行,保障了合法业务的稳定运行,是检测系统可用性的核心基础。
- 行业俗称:正确放行、正常识别。
快速记忆口诀
- 先看T/F:T = 预测和真实一致(判断对了),F = 预测和真实不一致(判断错了)
- 再看P/N:P = 模型判定它是恶意流量,N = 模型判定它是良性流量
行业核心评估指标对应(基于该标准定义)
- 检测率 / 召回率(核心指标):
TP / (TP + FN),衡量模型检出攻击的能力 - 精确率:
TP / (TP + FP),衡量模型告警的可信程度 - 误报率:
FP / (FP + TN),衡量模型误判正常流量的概率