* onwaar positief: Een vals positief vindt plaats wanneer de ID's een gebeurtenis als kwaadaardig (een inbraak) markeren wanneer het eigenlijk goedaardig is. Dit betekent dat het systeem ten onrechte een waarschuwing heeft verhoogd. Zie het als een "Wolf Cry" die niets blijkt te zijn.

* Voorbeeld: Een legitieme interne gebruiker die op een ongebruikelijke tijd toegang heeft tot een database, kan een waarschuwing activeren als de IDS te gevoelig is geconfigureerd. Deze activiteit, hoewel misschien verdacht, kan volkomen normaal zijn voor de rol van die gebruiker.

* vals negatief: Een vals negatief treedt op wanneer de ID's geen echte inbreuk of kwaadwillende activiteit detecteren. Dit is een gemiste waarschuwing, waardoor uw systeem mogelijk kwetsbaar blijft. Zie het als de "wolf" die daadwerkelijk verschijnt, maar niemand merkt het.

* Voorbeeld: Een geavanceerde aanvaller kan een zero-day exploit gebruiken (een kwetsbaarheid die nog niet bekend is bij de ID's) of detectie ontwijken door heimelijke technieken. De ID's zouden de aanval niet registreren.

Het evenwicht tussen valse positieven en valse negatieven is cruciaal voor effectieve IDS -implementatie. Een systeem met te veel valse positieven kan leiden tot 'alert vermoeidheid', waarbij beheerders waarschuwingen negeren vanwege hun enorme volume. Omgekeerd maakt een hoge mate van valse negatieven het systeem kwetsbaar voor echte aanvallen die onopgemerkt worden. Het vinden van de optimale balans vereist een zorgvuldige afstemming van de ID's en grondig begrip van de omgeving die het bewaakt.