• 정탐

  • TP (True Positive): 정확하게 문제를 탐지함.
  • TN (True Negative): 정상 트래픽을 올바르게 정상으로 탐지함.

• 오탐 (False Positive, FP): 정상인데 문제로 잘못 탐지함.

• 미탐 (Flase Negative, FN): 아예 탐지 자체를 못함.

혼동 행렬

• 모델의 예측이 실제와 일치하지 않는 경우를 혼동이라 표현
• 혼동 행렬은 이러한 혼동을 시각화 및 정량화하기 위한 도구
• 위의 개념들을 바탕으로 계산식을 세워, 정확도, 정밀도, 민감도(재현율) 등 다양한 평가 지표 수립 가능

	문제 있음 (Positive, 1)	정상 (Negative, 0)
예측이 참 (Positive, 1)	True Positive (TP)	False Positive (FP)
예측이 거짓 (Negative, 0)	False Negative (FN)	True Negative (TN)

---

1. 정탐

1.1 TP (True Positive)

• 시스템이 실제로 존재하는 악성 행위(혹은 이상 행동)(Positive)를 정확히 탐지(Positive)한 경우
• 즉, 실제로 문제가 있는 것을 "문제가 있다"고 올바르게 알림을 준 상태

1.2 TN (True Negative)

• 실제로 아무런 공격이 없는 정상 트래픽(Negative)을 시스템이 올바르게 정상(Negative)이라고 판단해서
  정상 처리가 되는 경우

2. 오탐 (False Positive, FP)

• 실제로는 아무 문제 없는 걸(Negative) 위험(Positive)로 잘못 탐지한 경우
• 예) 정상적인 이메일을 백신이 바이러스로 오해해서 차단해버리는 상황

3. 미탐 (False Negative, FN)

• 정말로 위험한 상황(Positive)이 발생했는데도, 시스템이 정상(Negative)이라고 판단하는 경우
• 바이러스가 들어 있는 이메일을 백신이 그냥 "정상"이라고 통과시키는 경우

오탐과 미탐

• 미탐이 오탐보다 위험
  -> 위협을 놓쳐서 큰 사고 발생 가능성 ↑
• 미탐은 아예 탐지를 못한 것, 오탐은 탐지를 했으나 잘못한 것
• 미탐 발생률을 최대한 줄여야 함.
• 오탐은 학습으로 발생률을 감소시켜야함.