Probabilmente non è necessario decodificare il pacchetto poiché molto probabilmente non contiene informazioni utili. Se guardi nel pacchetto con Wireshark dovresti vedere che il tipo di (almeno uno) record TLS nel pacchetto è 0x18 (protocollo heartbeat). Il messaggio Heartbeat (decrittografato) contiene due campi TLS: HeartbeatLength e HeartbeatPayload. Se il tuo IDS è stato in grado di decodificare il record, probabilmente ha visto che HeartbeatLength nel record era maggiore del numero di byte HeartbeatPayload. Se anche il server che questo pacchetto è stato inviato è vulnerabile a Heartbleed, questo pacchetto avrebbe attivato la famosa vulnerabilità Heartbleed. D'altra parte, se il tuo IDS non può decifrare i record, probabilmente non gli piacevano i messaggi di Heartbeat in generale.