* Falso positivo: Un falso positivo ocurre cuando el IDS marca un evento como malicioso (una intrusión) cuando es realmente benigno. Esto significa que el sistema aumentó incorrectamente una alerta. Piense en ello como un "grito de lobo" que resulta ser nada.
* Ejemplo: Un usuario interno legítimo que accede a una base de datos en un momento inusual podría activar una alerta si el IDS está configurado con demasiada sensibilidad. Esta actividad, aunque quizás sospechosa, podría ser perfectamente normal para el papel de ese usuario.
* Falso negativo: Un falso negativo ocurre cuando el IDS no puede detectar una intrusión genuina o actividad maliciosa. Esta es una alerta perdida, lo que puede dejar su sistema vulnerable. Piense en ello como el "lobo" que realmente aparece, pero nadie se da cuenta.
* Ejemplo: Un atacante sofisticado podría usar una exploit de día cero (una vulnerabilidad aún no conocida por los ID) o evadir la detección a través de técnicas sigilosas. Las ID no registrarían el ataque.
El equilibrio entre falsos positivos y falsos negativos es crucial para la implementación efectiva de IDS. Un sistema con demasiados falsos positivos puede conducir a una "fatiga alerta", donde los administradores ignoran las alertas debido a su gran volumen. Por el contrario, una alta tasa de falsos negativos deja el sistema vulnerable a los ataques reales que no se detectan. Encontrar el equilibrio óptimo requiere un ajuste cuidadoso de las ID y una comprensión profunda del entorno que monitorea.