Наиболее вероятным ответом является то, что при обнаружении динамического протокола не удается определить соединение как FTP.Вы можете начать с чего-то более простого.Чтобы увидеть, видит ли детектор протокола это соединение как FTP, вы можете попробовать это:
alert ftp any any -> any any
Без параметров правила это должно сгенерировать предупреждение для каждого пакета в потоке после обнаружения FTP.