<html><head></head><body><div style="color:#000; background-color:#fff; font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:12px"><div id="yui_3_16_0_1_1451094065352_6739" dir="ltr"><span id="yui_3_16_0_1_1451094065352_6894">I have got some tcpdump files from KDD-99 dataset and I am trying to find out Neptune attacks recorded in them. I am writing rules in standard form, for instance:</span></div><div id="yui_3_16_0_1_1451094065352_6739" dir="ltr"><span><br></span></div><div id="yui_3_16_0_1_1451094065352_6739" dir="ltr"><span id="yui_3_16_0_1_1451094065352_7229">alert tcp any any -> any 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; classtype: attempted-dos; threshold: type threshold, track by_src, count 20, seconds 6; sid:1000001;rev:1;)<br></span></div><div id="yui_3_16_0_1_1451094065352_6739" dir="ltr"><span><br></span></div><div id="yui_3_16_0_1_1451094065352_6739" dir="ltr"><span id="yui_3_16_0_1_1451094065352_7236">According to this very rule, I should be alerted only after 6 seconds if more than 20 rules are found, but it generates alert for all packets having SYN enabled. Can anybody help me here?</span></div><div></div><div id="yui_3_16_0_1_1451094065352_6885"> </div><div class="signature" id="yui_3_16_0_1_1451094065352_7072">Regards, Aneela Safdar</div></div></body></html>