月份: 2021 年 6 月

-道德在新的 CISSP 考試大綱中名列前茅

道德規範(Code of Ethics Canons)
. 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
. 以光榮、誠實、公正、負責任和合法的方式行事。
. 為校長(principals)提供勤勉和稱職的服務。
. 推進和保護職業。

道德投訴程序(Ethics Complaint Procedures)
以下摘自(ISC)² 道德規範：
. 該倫理委員會是由董事會成立聽到所有的道德投訴和提出建議董事會。
. 委員會將只考慮具體說明我們的 (ISC)² 道德準則中已被違反的投訴。
. 雖然任何公眾都可以投訴Canons I 或 II的違規行為，但只有負責人（與證書持有者有雇主/承包商關係的人）可以投訴Canons III 的違規行為，並且只有其他專業人士（那些獲得認證或獲得專業執照並遵守道德準則）可能會投訴違反佳能 IV 的行為。
. 僅接受聲稱因所指控的行為而受傷的人的投訴。
. 所有投訴必須以書面形式提出。投訴必須採用宣誓書的形式。委員會不會考慮任何其他形式的指控。
. 如果表面證據確鑿，道德委員會將審查並向董事會提出建議。

參考
. (ISC)² 道德準則
. (ISC)² 活動行為準則
. 你有足夠的道德成為 CISSP 嗎？
. 網絡安全倫理簡介
. 事件響應和安全團隊的道德規範
. 共同利益
. 什麼是同行評審團？
. 為您的組織製定道德準則
. Surna Inc. 商業行為與道德準則
. 3 信息安全專業人員的道德困境
. 網絡安全倫理的嚴峻挑戰

資料來源： Wentz Wu QOTD-202104013

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-零信任網路安全範式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份驗證協議。EAP-TLS 需要基於服務器和客戶端的證書進行相互身份驗證，並在三者中呈現最高的安全級別。EAP-TTLS 和 PEAP 支持相互認證，無需在客戶端安裝證書以減輕系統管理開銷。由於零信任強調驗證和細粒度訪問控制，因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更適合。

EAP 傳輸層安全 (EAP Transport Layer Security ：EAP-TLS)
EAP 傳輸層安全 (EAP-TLS) 在 RFC 5216 中定義，是使用傳輸層安全 (TLS) 協議的 IETF 開放標準，並在無線供應商中得到很好的支持。EAP-TLS 是原始的標準無線局域網 EAP 身份驗證協議。
EAP-TLS 仍然被認為是最安全的 EAP 標準之一，儘管 TLS 僅在用戶了解有關虛假憑據的潛在警告時才提供強大的安全性，並且得到所有無線 LAN 硬件和軟件製造商的普遍支持。直到 2005 年 4 月，EAP-TLS 是唯一需要認證 WPA 或 WPA2 徽標的 EAP 類型供應商。
客戶端證書的要求，無論它多麼不受歡迎，都賦予了 EAP-TLS 其身份驗證強度，並說明了經典的便利性與安全性的權衡。使用客戶端證書，破解密碼不足以入侵啟用 EAP-TLS 的系統，因為入侵者仍然需要擁有客戶端證書；實際上，甚至不需要密碼，因為它僅用於加密客戶端證書以進行存儲。最高的安全性是客戶端證書的“私鑰”存放在智能卡中。
資料來源：維基百科

EAP 隧道傳輸層安全 (EAP Tunneled Transport Layer Security：EAP-TTLS)
EAP 隧道傳輸層安全 (EAP-TTLS) 是一種擴展 TLS 的 EAP 協議。它由 Funk Software 和 Certicom 共同開發，並得到了跨平台的廣泛支持。
客戶端可以但不必通過 CA 簽署的 PKI 證書向服務器進行身份驗證。這極大地簡化了設置過程，因為並非每個客戶端都需要證書。
資料來源：維基百科

受保護的可擴展身份驗證協議 (Protected Extensible Authentication Protocol:PEAP)
受保護的可擴展身份驗證協議，也稱為受保護的 EAP 或簡稱為 PEAP，是一種將 EAP 封裝在潛在加密和身份驗證的傳輸層安全 (TLS) 隧道中的協議。目的是糾正 EAP 中的缺陷；EAP 假設了一個受保護的通信通道，例如由物理安全提供的通道，因此沒有提供保護 EAP 對話的設施。
資料來源：維基百科

輕量級可擴展身份驗證協議 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在無線網路中使用的基於 EAP 的身份驗證協議。它支持相互認證並在遺留的破解 WEP 中工作。

NIST：零信任原則(Tenets of Zero Trust)

1. 所有數據源和計算服務都被視為資源。
2. 無論網路位置如何，所有通信都是安全的。
3. 按會話授予對單個企業資源的訪問權限。
4. 對資源的訪問由動態策略決定——包括客戶端身份、應用程序/服務和請求資產的可觀察狀態——並且可能包括其他行為和環境屬性。
5. 企業監控和衡量所有自有資產和相關資產的完整性和安全狀況。
6. 所有資源認證和授權都是動態的，並且在允許訪問之前嚴格執行。
7. 企業盡可能多地收集有關資產、網路基礎設施和通信的當前狀態的信息，並使用這些信息來改善其安全狀況。

NIST：網路的零信任視圖(A Zero Trust View of a Network)

1. 整個企業專用網路不被視為隱式信任區域。
2. 網路上的設備可能不由企業擁有或配置。
3. 沒有資源是天生可信的。
4. 並非所有企業資源都位於企業擁有的基礎架構上。
5. 遠程企業主體和資產無法完全信任其本地網路連接。
6. 在企業和非企業基礎設施之間移動的資產和工作流應該具有一致的安全策略和狀態。

參考
. WPA2-企業認證協議比較
. 了解更新的 WPA 和 WPA2 標準
. 轉向 WPA/WPA2-企業 Wi-Fi 加密
. 802.1X 概述和 EAP 類型
. 思科LEAP
資料來源： Wentz Wu QOTD-202104012

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

清理方法(The sanitization method)，清除(purge)，將使數據恢復不可行，但介質是可重複使用的。消磁(Degaussing)會使媒體永久無法使用。

消磁，也稱為消磁，意思是“通過施加反向磁化場將磁通量降低到虛擬零。對任何當前一代的硬盤（包括但不限於 IDE、EIDE、ATA、SCSI 和 Jaz）消磁將導致驅動器永久無法使用，因為這些驅動器將磁道位置信息存儲在硬盤驅動器上。”
來源：NIST SP 800-88 R1

ATA 清理命令旨在清除數據；它們應用特定於媒體的技術來繞過典型讀寫命令中固有的抽象。以下是 ATA 清理 I/O 命令：
. CRYPTO SCRAMBLE EXT（D. 更改用於用戶數據的內部加密密鑰）
. OVERWRITE EXT（C. 用常數值覆蓋內部媒體）
. BLOCK ERASE EXT（A.使用塊擦除方法）

-ATA 消毒操作
參考
. CISSP 實踐問題 – 20200209
. 數據殘留和清理

資料來源： Wentz Wu QOTD-202104011

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

橢圓曲線數字簽名算法 (ECDSA) 是FIPS 186-4批准的合法數字簽名算法。這意味著 ECDSA 在技術上足夠強大並且具有法律約束力。
本標准定義了數字簽名生成方法，可用於保護二進制數據（通常稱為消息），以及驗證和確認這些數字簽名。批准了三種技術。
(1)本標準規定了數字簽名算法（DSA）。該規範包括域參數的生成、公鑰和私鑰對的生成以及數字簽名的生成和驗證的標準。
(2) RSA數字簽名算法在美國國家標準 (ANS) X9.31 和公鑰密碼學標準 (PKCS) #1 中指定。FIPS 186-4 批准使用這些標準中的一個或兩個的實現，並指定附加要求。
(3)橢圓曲線數字簽名算法 (ECDSA)在 ANS X9.62 中指定。FIPS 186-4 批准使用 ECDSA 並指定附加要求。此處提供了供聯邦政府使用的推薦橢圓曲線。
ECDSA 密鑰對由私鑰d 和與特定 ECDSA 域參數集相關聯的公鑰Q 組成；d、Q 和域參數在數學上相互關聯。私鑰通常使用一段時間（即cryptoperiod）；只要使用關聯私鑰生成的數字簽名需要驗證（即，公鑰可以在關聯私鑰的加密期之後繼續使用），就可以繼續使用公鑰。有關進一步指導，請參閱 SP 800-57。
ECDSA 密鑰只能用於 ECDSA 數字簽名的生成和驗證。
來源：FIPS 186-4

使用密鑰對的非對稱加密(Asymmetric Encryption Using Key Pairs)
非對稱加密中使用的密鑰對中的私鑰或公鑰只是一個二進制位序列。給定一個公鑰，你永遠不知道它屬於誰。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。封裝在由受信任的證書頒發機構簽署的數字證書中的公鑰可以。因此，單獨的公鑰不能用於身份驗證和不可否認性。

IPsec 和不可否認性(IPsec and Non-repudiation)
. 不可否認包從技術角度來看是遠離的不可抵賴性的消息從法律的角度。
. 在早期，Cisco 和 RFC 1826 聲明 IPsec 支持不可否認性。但是，隨後的 RFC（RFC 2403 和 RFC 4302）顛覆了這一點：

RFC 1826 不可否認性(RFC 1826 for Non-repudiation)
認證頭是一種為 IP 數據報提供強完整性和認證的機制。它還可能提供不可否認性，具體取決於使用哪種加密算法以及如何執行密鑰。例如，使用非對稱數字簽名算法（如 RSA）可以提供不可否認性。( RFC 1826 )
但是，RFC 2403 和 RFC 4302 顛覆了 AH 提供不可否認性的說法。

用於身份驗證的 RFC 2402(RFC 2402 for Authentication)
IP 認證頭 (AH) 用於為 IP 數據報提供無連接完整性和 數據源認證（以下簡稱“認證”），並提供防止重放的保護。 (RFC 2402 )

RFC 4302 完整性(RFC 4302 for Integrity)
IP 認證頭 (AH) 用於 為 IP 數據報（以下簡稱“完整性”）提供無連接完整性和 數據源認證，並提供防止重放的保護。( RFC 4302 )
有關詳細信息，請參閱IPsec 和不可否認性。

參考
. 酒店評分
. RSA（密碼系統）
. 不可否認性
. IPsec 和不可否認性

資料來源： Wentz Wu QOTD-20210409

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

證書申請和回應

證書籤名請求

在公鑰基礎結構（PKI）系統中，證書籤名請求（也稱為CSR或證書請求）是從申請人發送到證書頒發機構以申請數字身份證書的消息。它通常包含應為其頒發證書的公鑰，標識信息（例如域名）和完整性保護（例如數字簽名）。CSR最常見的格式是PKCS＃10規範；另一種是由某些Web瀏覽器生成的“簽名的公鑰和挑戰” SPKAC格式。

資料來源：維基百科

使用OpenSSL生成CSR

$ sudo apt install openssl [在Debian / Ubuntu上]
$ openssl req -new -newkey rsa：2048 -nodes -keyout server.key -out server.csr

上傳證書籤名請求

X.509證書

安裝證書

TLS / SSL

參考

• PKCS＃10：認證請求語法規範版本1.7
• Internet X.509證書請求消息格式
• PKI技術標準
• SSL證書格式
• X.509和PKCS＃7證書有什麼區別？
• SSL證書文件擴展名說明：PEM，PKCS7，DER和PKCS＃12
• .P7B（PKCS＃7）.PFX / .P12（PKCS＃12）.PEM，.DER，.CRT，.CER證書有什麼區別？
• 網絡安全
• 信任鏈
• HTTPS流量的服務級別監視
• SSL基礎知識：什麼是證書籤名請求（CSR）？
• 產生企業社會責任
• CSR解碼器和證書解碼器
• 如何使用OpenSSL解碼證書籤名請求（CSR）文件
• 如何為Nginx生成CSR（OpenSSL）
• 如何在Linux中生成CSR（證書籤名請求）
• x509證書–非對稱加密和數字簽名
• 如何使用X.509證書和SSL進行安全通信
• 什麼是X.509證書？
• 如何在IIS10上安裝SSL證書

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

使命與願景(Mission and Vision)
. 一個組織不是無緣無故存在的。它是為目的而建立的，並肩負著使命。它由領導者創造的願景激勵人們按照目標進行活動，並根據指標和指標進行衡量，以創造價值、實現（戰略）目標並實現願景和使命。
. 業務是指創造價值的活動的集合。它由組織的內部和外部環境驅動，這些環境施加了條件和約束以及表達期望、需求和要求的利益相關者。

治理與管理(Governance and Management)
治理是指由最高管理層或最高管理層進行的整體活動，對業務成果、組織的生存和發展以及願景和使命的實現負責。政策是最高管理層意圖的表達。
管理是實現目標或目的的系統方法。PDCA 循環是最著名的管理方法之一。

資訊安全(Information Security)
資訊安全是一門通過保障措施保護資訊資產免受威脅的學科，以實現機密性、完整性和可用性（第 3 層）或 CIA 的目標，支持業務（第 2 層）並創造和交付價值（第 1 層） .
. 資訊安全治理是最高管理層的一門學科，以 1) 承擔保護組織資訊資產的責任，2) 指導資訊安全的實施以實現機密性、完整性和可用性的安全目標，以及 3) 遵守法律和強制性的和其他需求。
. 資訊安全管理是PDCA循環，實施資訊安全戰略，實現戰略目標，落實資訊安全政策。

資料來源： Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-容器技術架構
容器映像是由開發人員創建和註冊的包，其中包含在容器中運行所需的所有文件，通常按層組織。映像通常包括層，例如最小操作系統核心（又名基礎層）、應用程序框架和自定義代碼。
儘管主機可以直接聯繫註冊中心獲取鏡像並將其部署到容器中，但協調器（例如Kubernetes（K8S）、Docker Swarm、Mesos等）可以自動執行部署過程，從註冊中心拉取鏡像，並將其部署到容器中，並管理容器運行時。

不變性和彈性(Immutability and Elasticity)
正如寵物中的雞、牛、雞和昆蟲類比，部署容器是為了彈性，具有自動“橫向擴展”和“縱向擴展”的能力。
我們很好地照顧我們的寵物，但殺死和吃掉像牛和雞這樣的動物而不會後悔。虛擬機和容器是可以隨時銷毀、替換和添加的工作負載。不變性和無狀態是容器實現彈性的兩個關鍵屬性。

不變性意味著“隨時間不變或無法改變”。(Google) 我們可以將容器視為只讀的；更新容器的唯一方法是用新容器替換它。無狀態意味著容器不會在其本地存儲中保留數據；但是，遠程存儲庫用於跨容器持久化和共享狀態。
大多數應用程序容器技術都實現了不變性的概念。換句話說，容器本身應該作為已部署但未更改的無狀態實體運行。當正在運行的容器需要升級或更改其內容時，它會被簡單地銷毀並替換為具有更新的新容器。
資料來源： NIST SP 800-192

覆蓋網絡(Overlay Networks)
覆蓋網絡通常用於隔離節點之間的流量。相反，可能會導致非容器感知防禦工具難以監控流量。

對容器進行分段和分組(Segmenting and Grouping Containers)
在某些情況下，適合將具有相同用途、敏感性和威脅態勢的容器分組在單個主機上。儘管如此，它並不適用於所有不具有相同安全要求的容器。
僅將具有相同用途、敏感性和威脅態勢的容器分組到單個主機操作系統內核上，以實現額外的縱深防禦。
按用途、敏感性和威脅態勢分割容器提供了額外的縱深防禦。這種分段可以通過使用多個物理服務器來提供，但現代虛擬機管理程序也提供了足夠強大的隔離來有效地降低這些風險。
資料來源： NIST SP 800-192

NIST 應用程序容器安全指南(NIST Application Container Security Guide)
NIST 建議組織應遵循以下建議，以幫助確保其容器技術實施和使用的安全性：

1. 定制組織的運營文化和技術流程，以支持容器使開發、運行和支持應用程序成為可能的新方式。
2. 使用特定於容器的主機操作系統而不是通用操作系統來減少攻擊面。
3. 僅在單個主機操作系統內核上將具有相同目的、敏感性和威脅態勢的容器分組，以實現額外的縱深防禦。
4. 為鏡像採用特定於容器的漏洞管理工具和流程，以防止受到損害。
5. 考慮使用基於硬件的對策為可信計算提供基礎。
6. 使用容器感知運行時防禦工具。

參考
. 什麼是容器安全？
. NIST SP 800-192（應用容器安全指南）
. 容器安全指南——你需要知道的一切
. 寵物和牛的類比展示了無服務器如何融入軟件基礎設施領域
. 寵物與牛的歷史以及如何正確使用類比
. 彈性
. 自動化彈性

資料來源： Wentz Wu QOTD-20210408

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

零信任的概念早在 2003 年就出現了，當時去邊界化、移除物理網絡位置盛行。許多組織開始實施類似的概念。NIST 於 2020 年 8 月發布了專刊 800-207，統一了各種觀點，介紹了零信任概念和環境，並提出了零信任架構。
從不信任，始終驗證。零信任的基本概念是不依賴物理位置來隱式授權訪問（信任）。每次訪問都必須經過身份驗證、明確授權和記錄；數據流需要加密和記錄。應實施細粒度的動態機制來支持訪問控制。因此，我得出的結論是，零信任是一種用於訪問控製或訪問控制 2.0 的新網絡安全範式，具有以數據為中心、細粒度、動態和可見性的特點。
. 記帳和記錄網絡流量提供了可見性。
. 零信任與位置無關。使用 IPSec 加密 LAN 上的流量，就像 WAN 中發生的那樣。
. 端口敲門在端口級別應用身份驗證並支持動態策略。此外，我們還在應用程序級別使用網絡訪問控制（例如，802.1X）和用戶身份驗證。從不信任，始終驗證。
. 多層防火牆意味著安全性由物理網絡位置實施，例如外部、DMZ 和內部網絡。它不是零信任風格，它以數據或資產為中心，並使用邏輯邊界或軟件定義的邊界。

-零信任概念的演變

-零信任網絡安全範式

參考
. 零信任創建者談論實施、誤解、戰略
. 敲端口

資料來源： Wentz Wu QOTD-20210407
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

常見的隧道協議
以下是常見的隧道協議：
. GRE（協議 47）：通用路由封裝
. SSTP（TCP 端口 443）：安全套接字隧道協議
. IPSec（協議 50/ESP和 51/AH）：互聯網協議安全
. L2TP（協議 115）：第 2 層隧道協議
. VXLAN（UDP 端口 4789）：虛擬可擴展局域網
封裝安全負載 (ESP)
封裝安全負載 (ESP)，IP 協議編號 50，是 IPsec 協議套件的成員。它可以在主機到主機傳輸模式以及站點到站點隧道模式中實現：
. 在傳輸模式下，只對IP數據包的有效載荷進行加密或認證，通常在使用其他隧道協議（如GRE、L2TP）先封裝IP數據包時使用，然後使用ESP保護隧道數據包。（Juniper）
. 在隧道模式下，整個 IP 數據包都經過加密和認證。

第2層轉發協議 (L2F)
L2F 或第 2 層轉發是 Cisco Systems, Inc. 開發的隧道協議，用於在 Internet 上建立虛擬專用網絡連接。L2F 本身不提供加密或機密性；它依賴於被隧道傳輸的協議來提供隱私。L2F 專門設計用於隧道點對點協議 (PPP)流量。
資料來源：維基百科

點對點隧道協議 (PPTP)
由於許多眾所周知的安全問題，主要由Microsoft支持的點對點隧道協議 (PPTP)是一種過時的用於實現虛擬專用網絡 (VPN) 的方法。
. PPTP 使用 TCP 控制通道和通用路由封裝隧道來封裝點對點協議 (PPP)數據包。
. PPTP 規範不描述加密，Microsoft 點對點加密 (MPPE)支持加密。

VXLAN 問題陳述
目前的VLAN數量有限，為4094，無法滿足數據中心或云計算的需求，具有基於租戶隔離網絡的共同特點。例如，Azure 或 AWS 的客戶遠多於 4094。

VXLAN (RFC 7348) 旨在解決以下問題：

1. 生成樹和 VLAN 範圍施加的限制
2. 多租戶環境
3. ToR（架頂式）交換機的表尺寸不足
   VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP，以支持主幹交換機和葉交換機之間的通信。Leaf-Spine架構採用葉子交換機和骨幹交換機組成的兩層網絡拓撲結構。

底層網絡 或所謂的 物理網絡 ，傳統協議在其中發揮作用。底層網絡是物理基礎設施，在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。

• 底層協議：BGP、OSPF、IS-IS、EIGRP

一個 覆蓋網絡 是一個 虛擬的網絡 ，其路由在底層網絡基礎設施之上，路由決定將發生在軟件的幫助。

• 覆蓋協議：VXLAN、NVGRE、GRE、OTV、OMP、mVPN

覆蓋網絡是一種使用軟件創建網絡抽象層的方法，可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層，通常提供新的應用程序或安全優勢。
來源：Underlay Network 和 Overlay Network

參考
. 隧道協議
. 第 2 層轉發協議 (L2F)
. 通用路由封裝 (GRE)
. 點對點隧道協議
. 虛擬可擴展局域網 (VXLAN)
. VPN隧道解釋
. 什麼是 VPN 隧道？
. 什麼是 VPN 隧道及其工作原理
. 什麼是 IKEv2？
. 互聯網協議安全 (IPsec)

資料來源： Wentz Wu QOTD-20210405

混淆矩陣中的敏感性是評估 IDS 性能的常用方法。
. 一旦 IDS 發送警報，就應該對其進行調查和驗證，並且工作量會增加。減少誤報的數量減少了調查工作量。
. 然而，減少誤報警報可能會增加誤報案例，導致更多的零日漏洞利用，利用組織獲利害關西人未知的漏洞進行攻擊。
. “一般來說，提高入侵檢測系統的靈敏度會導致更高的誤報率，而降低靈敏度會降低誤報率。” ( Chapple ) 降低這裡的“敏感度”可能是指配置 IDS 以降低檢測的積極性和響應性並發送更少的警報。然而，IDS 系統的敏感度究竟是多少？二元分類中靈敏度的操作定義是TP/(TP+FN)。降低靈敏度意味著 FN（假陰性）增加。
. 選項 D 在二元分類器中有意義，如下圖所示。IDS的檢測閾值是影響靈敏度的實現參數，實現方式各不相同。基於異常的 IDS 可以採用二元或多標籤分類器/算法來對事件進行分類，例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。由於存在各種類型的基於異常的 IDS，因此在每種算法中可能會或可能不會使用閾值。此外，在不同算法中提高閾值可能會以不同方式影響靈敏度。

-二元分類模型的分數分佈（來源：亞馬遜）

S-IDS 和 A-IDS
入侵檢測系統按檢測方法可分為基於簽名（S-IDS）和基於異常（A-IDS）。S-IDS擅長檢測已知攻擊，而 A-IDS 擅長未知攻擊。異常，又名異常值、新奇、噪音、偏差和異常，是指“偏離標準、正常或預期的東西”。（谷歌）
下圖很好地總結了異常檢測方法。但是，請注意它有一個錯字（簽名IDS應該是“S-IDS”），大多數CISSP學習指南將基於知識的IDS（K-IDS）視為與簽名IDS（S-IDS）相同。

-Laszka、Aron & Abbas、Waseem & Sastry、S & Vorobeychik、Yevgeniy & Koutsoukos、Xenofon。(2016)。入侵檢測系統的最佳閾值。10.1145/2898375.2898399。

分類(Classification)
如果事件或流量是使用二元分類器的攻擊，則 IDS 可以使用模型（分類器）來確定事件或流量，或者使用多標籤分類器對其進行分類，例如正常、可疑或攻擊。在分類過程中可以使用作為模型參數的閾值。
將預測概率或評分轉換為類別標籤的決策由稱為“決策閾值”、“判別閾值”或簡稱為“閾值”的參數控制。對於在 0 或 1 之間的範圍內的標準化預測概率或分數，閾值的默認值為 0.5。（Brownlee）

ROC曲線(ROC Curve)
ROC 曲線（接收器操作特性曲線）是顯示分類模型在所有分類閾值下的性能的圖表。該曲線繪製了兩個參數：真陽性率和假陽性率。（谷歌）

-資料來源：谷歌

混淆矩陣(Confusion Matrix)
混淆矩陣是一種評估 IDS 使用的模型性能的工具。它包含有關使用二元或多標籤分類器進行的實際和預測分類的信息，例如 {Attack, Non-attack} 或 { Normal, Suspicious, Attack }。

-混淆矩陣（圖片來源：數據科學和機器學習）

-混淆矩陣和決策樹（圖片來源：Judy Shamoun-Baranes）

參考
. 準確率和召回率
. 敏感性和特異性
. 精確召回
. 入侵檢測系統的最佳閾值
. 入侵檢測系統 – IDS 性能調優 (YouTube)
. 網絡入侵檢測系統：機器學習和深度學習方法的系統研究
. 大數據環境下使用機器學習算法的入侵檢測模型
. 機器學習中的分類算法：它們是如何工作的
. 7種分類算法
. 統計異常檢測
. 異常檢測
. 靈敏度、特異性、準確性、相關置信區間和 ROC 分析與實用 SAS® 實施
. 評估和調整入侵檢測系統
. 什麼是入侵檢測系統？最新類型和工具
. 不平衡分類的評估指標之旅
. 不平衡分類的閾值移動簡介
. 多標籤分類的閾值選擇研究
. 分類：閾值（谷歌）
. 多標籤分類
. 多類分類（亞馬遜）
. 二元分類（亞馬遜）
. 在 scikit-learn 中微調分類器
. 機器學習：神經網絡

資料來源： Wentz Wu QOTD-20210406