Ваше правило выглядит хорошо по большей части. Я считаю, что проблема связана с вашим отображением / классификацией sid. Если вы определите новый тип classtype, как вы сделали, есть дополнительные параметры конфигурации, которые необходимо установить - в этом случае намного проще переработать что-то существующее. Я бы предложил использовать классификацию нарушений политики.
RE: Комментарий Поле содержимого ищет все тело пакета, которое видит. Это не должно быть проблемой PCRE. Возможно, вы захотите посмотреть на сборку потока. Возможно, искомая строка разрывается между пакетами. Попробуйте запустить Wireshark и захватить нужные вам пакеты.