Snort, novo alerta? SSID 120:18

gersonalves

2.4.4-RELEASE-p3 (amd64)
built on Wed May 15 18:53:44 EDT 2019
FreeBSD 11.2-RELEASE-p10

Tudo bem pessoal? Utilizo o Snort na LAN e notei que ontem no final da tarde começou a aparecer o alerta SSID 120:18 (http_inspect) PROTOCOL-OTHER HTTP server response before client request. E agora pela manhã inúmeros alertas com esse SSID. Parece ser uma nova atualização do Snort. Seria um falso positivo? Alguém notou esse alerta?
Em busca pela Web, os amigos da França também notaram esse alerta e estão sem respostas também!

arielberlandi

Tambem estou tendo esse alerta, achei a seguinte descrição do SID:
New preprocessor alert (120:18) to detect SSH tunneling over HTTP
Fonte

Esse artigo explica o SSH Tunneling