Estoy usando Snort en un entorno de laboratorio con tráfico generado artificialmente.
Estoy buscando construir una matriz de confusión a partir de ataques generados conocidos.
Los positivos verdaderos y los positivos falsos son fáciles de analizar del archivo de alertas, pero estoy buscando una manera de cuantificar los negativos verdaderos / falsos.
Estos serían casos en los que Snort podría haber alertado, pero no lo hizo.
No estoy seguro de qué tan relacionado está esto con la cantidad de paquetes, porque no estoy seguro de que Snort pueda alertar varias veces por paquete.
Cualquier ayuda es apreciada.