<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    On 2/4/11 10:23 AM, Martin Roesch wrote:<br>
    <blockquote
      cite="mid:AANLkTim57-io5fEPb5CX-F5xzCBFXS_o9emhwDzZWRF1@...11828..."
      type="cite">
      <pre wrap="">I like that idea too.  It'd make a lot of sense to integrate it into
snort.org - in fact there's probably a lot of data about Snort
detection performance, config options and rule quality we could put up
there.  Communication favors the defender...

Marty

</pre>
    </blockquote>
    (greets marty, long time no hear..)<br>
    <br>
    We have thought of something like this also.<br>
    some type of 'CF' (confidence factor), users can enable/disable
    (oinkmaster,pulled pork, snort.conf module) based on CF and company
    policy.<br>
    <br>
    Example:  any rule with a CF of 100 (10?) how granular do you want
    to get?) would mean that 100% of the time, this rule does NOT FP!<br>
    <br>
    if an inline/block/drop/ (fwsam) rule, it would always block, if in
    detection mode, always alert.<br>
    <br>
    CF rule of 1 (1%) would almost NEVER block;/alert.<br>
    <br>
    you could have different policies for block, alert.<br>
    <br>
    say, maybe, block on everything with a CF of >90%, alert on
    anything with a CF > 50%.<br>
    <br>
    <br>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      Michael Scheidell, CTO<br>
      o: 561-999-5000<br>
      d: 561-948-2259<br>
      ISN: 1259*1300<br>
      <font color="#999999">></font><font color="#cc0000"> <b>| </b></font>SECNAP
      Network Security Corporation
      <style type="text/css">
<!--
.unnamed1 {
        margin: 1em;
        padding: 1px;
} -->
</style>
      <ul class="unnamed1">
        <li>Certified SNORT Integrator</li>
        <li>2008-9 Hot Company Award Winner, World Executive Alliance</li>
        <li>Five-Star Partner Program 2009, VARBusiness</li>
        <li>Best in Email Security,2010: Network Products Guide</li>
        <li>King of Spam Filters, SC Magazine 2008</li>
      </ul>
    </div>
  
<br>
<div id="disclaimer.secnap.com"><hr />
<p>This email has been scanned and certified safe by SpammerTrap®.
<br />For Information please see
<a href="http://www.secnap.com/products/spammertrap/">http://www.secnap.com/products/spammertrap/</a></p> <hr /></div>
<br>
</body>
</html>