No contexto de sistemas de detecção de intrusões (IDs), falsos positivos e falsos negativos representam erros na capacidade do sistema de identificar com precisão intrusões:

* Falso positivo: Um falso positivo ocorre quando o IDS sinaliza um evento como malicioso (uma intrusão) quando é realmente benigno. Isso significa que o sistema aumentou incorretamente um alerta. Pense nisso como um "choro de lobo" que acaba sendo nada.

* Exemplo: Um usuário interno legítimo acessando um banco de dados em um momento incomum pode acionar um alerta se o IDS estiver configurado com muita sensibilidade. Essa atividade, embora talvez suspeita, pode ser perfeitamente normal para a função desse usuário.

* Falso negativo: Um falso negativo ocorre quando o IDS falha em detectar uma intrusão genuína ou atividade maliciosa. Este é um alerta perdido, potencialmente deixando seu sistema vulnerável. Pense nisso como o "lobo" realmente aparecendo, mas ninguém percebe.

* Exemplo: Um atacante sofisticado pode usar uma exploração de dia zero (uma vulnerabilidade ainda não conhecida pelos IDs) ou fugir da detecção por meio de técnicas furtivas. Os IDs deixariam de registrar o ataque.


O equilíbrio entre falsos positivos e falsos negativos é crucial para a implementação eficaz do IDS. Um sistema com muitos falsos positivos pode levar a "fadiga de alerta", onde os administradores ignoram alertas devido ao seu grande volume. Por outro lado, uma alta taxa de falsos negativos deixa o sistema vulnerável a ataques reais sem ser detectados. Encontrar o equilíbrio ideal requer ajuste cuidadoso dos IDs e compreensão completa do ambiente que ele monitora.