什么是错误检测(误报)?
错误检测,也称为“误报”,是指将合法项目或行为错误地识别为恶意或未经授权的。 例如,防病毒软件可能会错误地将安全、合法的软件程序归类为恶意软件。 同样,分析网络流量中潜在威胁的 Web应用防火墙 (WAF) 也可能出现错误检测,错误地将合法请求标记为恶意请求。
由于需要额外的资源来调查和纠正警报,安全设备的误报会增加运营开销。 相反,相反的情况——“假阴性”,即恶意活动被错误地视为合法——可能构成直接的安全威胁。 将假阳性和假阴性尽可能地减少到接近于零仍然是当前的首要任务。
当安全解决方案无法识别新的、以前未知的攻击特征时,经常会出现误报。 为了应对新的威胁,系统会定期更新其特征以阻止新出现的攻击技术。 然而,旨在弥补安全漏洞的过度调整可能会无意中错误分类合法操作,从而增加误报。
F5 Networks 通过其F5 BIG-IP产品线提供 Web应用防火墙 (WAF) 解决方案,旨在有效解决和最大限度地减少此问题。 BIG-IP 采用了 WAF 签名分级等机制,允许在部署之前仔细验证和优化安全签名。 这大大减少了与管理签名更新产生的误报相关的管理开销和运营成本。
