Have you tried this?<div><br></div><div><div><br></div><div>††3. Make use of the Priority Count, Connection Count, IP Count, Port Count, IP</div><div>†† † range, and Port range to determine false positives.</div><div><br></div>
<div>†† † The portscan alert details are vital in determining the scope of a portscan</div><div>†† † and also the confidence of the portscan. †In the future, we hope to</div><div>†† † automate much of this analysis in assigning a scope level and confidence</div>
<div>†† † level, but for now the user must manually do this. †The easiest way to</div><div>†† † determine false positives is through simple ratio estimations. †The</div><div>†† † following is a list of ratios to estimate and the associated values that</div>
<div>†† † indicate a legimite scan and not a false positive.</div><div><br></div><div>†† † Connection Count / IP Count: †This ratio indicates an estimated average of</div><div>†† † connections per IP. †For portscans, this ratio should be high, the higher</div>
<div>†† † the better. †For portsweeps, this ratio should be low.</div><div><br></div><div>†† † Port Count / IP Count: †This ratio indicates an estimated average of ports</div><div>†† † connected to per IP. †For portscans, this ratio should be high and</div>
<div>†† † indicates that the scanned host's ports were connected to by fewer IPs.</div><div>†† † For portsweeps, this ratio should be low, indicating that the scanning host</div><div>†† † connected to few ports but on many hosts.</div>
<div><br></div><div>†† † Connection Count / Port Count: †This ratio indicates an estimated average</div><div>†† † of connections per port. †For portscans, this ratio should be low. †This</div><div>†† † indicates that each connection was to a different port. †For portsweeps,</div>
<div>†† † this ratio should be high. †This indicates that there were many connections</div><div>†† † to the same port.</div><div><br></div><div>†† † The reason that Priority Count is not included, is because the priority</div>
<div>†† † count is included in the connection count and the above comparisons take</div><div>†† † that into consideration. †The Priority Count play an important role in</div><div>†† † tuning because the higher the priority count the more likely it is a real</div>
<div>†† † portscan or portsweep (unless the host is firewalled).</div><div><br></div><br><div class="gmail_quote">On Thu, Mar 18, 2010 at 9:10 AM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475...">jlay@...13475...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">



<div>
<font face="Calibri, Verdana, Helvetica, Arial"><span style="font-size:11pt">Subject pretty much says it all...there are certain machines that I want to be able to detect a portsweep or scan, but not when they scan say 4 or 5 ports like booting up with netbios checking out other machines on a network (I think thatís why Iím seeing these FPís). †Sfportscan is set to low, but Iím not sure what else I can set? †Thanks all.<br>
<font color="#888888">
<br>
James</font></span></font>
</div>


<br>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></div>