假阳性

当检测系统错误地将合法行为标记为恶意或可疑时，就会发生误报。

定义

误报是指系统将正常或合法活动错误地识别为威胁、攻击或欺诈事件的错误检测结果。这在网络安全工具、机器人检测系统、垃圾邮件过滤器以及用于异常检测的机器学习模型中很常见。在Web安全环境中，误报可能会阻止真实用户、合法的API请求或自动化流程，因为它们看起来像恶意流量模式。过多的误报会降低对检测系统的信任度，并可能因迫使团队调查不构成实际风险的警报而增加运营负担。

优点

• 表明安全系统正在积极监控并检测可疑模式。
• 通过采取谨慎措施，有助于防止某些攻击。
• 可揭示过于宽松的规则，这些规则需要调整或优化。
• 鼓励持续改进检测算法和模型。

缺点

• 合法用户或请求可能被阻止，降低用户体验。
• 安全团队必须花费时间调查并非真实威胁的警报。
• 高误报率可能导致警报疲劳，降低运营效率。
• 可能干扰自动化工作流程，如网络爬虫、API或合法机器人。

使用场景

• 机器人检测系统错误地将合法的浏览器自动化分类为恶意流量。
• CAPTCHA或反机器人防御因可疑的浏览行为而挑战真实用户。
• 电子邮件垃圾邮件过滤器错误地将合法消息标记为垃圾邮件。
• 网络应用防火墙阻止了看起来像攻击模式的有效API请求。
• 诈骗检测系统将合法交易标记为可疑。