Sto usando Snort in un ambiente di laboratorio con traffico generato artificialmente.
Sto cercando di costruire una matrice di confusione dagli attacchi generati noti.
I veri positivi e i falsi positivi sono facili da analizzare dal file degli avvisi, ma sto cercando un modo per quantificare i veri / falsi negativi.
Questi sarebbero i casi in cui Snort avrebbe potuto essere avvisato, ma non lo fece.
Non sono sicuro di quanto strettamente correlato sia al numero di pacchetti, perché non sono sicuro che Snort potrebbe potenzialmente avvisare più volte per pacchetto.
Qualsiasi aiuto è apprezzato.