AdvantagesSnort插件Snort采用了模块化设计，其主要特点就是利用插件，这样有几个好处，一是用户可以自主选择使用哪些功能，并支持热插拔；二是依据设计需求对Snort扩展，即根据template.c设计第三方插件目前插件按功能分成三类，数据流预处理插件，检测功能插件，输出日志信息插件；插件的管理统一采用链表指针的方式2. 跨平台性Snort支持Linux，OpenBSD，FreeBSD，Solaris，HP-UX ，MacOS，Windows等3. 规则语言简单发现新攻击后，可以很快找到特征码，写出新的规则文件，迅速建立规则表4. 轻量级，在部署方面具有高度灵活性，使其成为网络安全体系的有机组成部分
5. 具有实时流量分析和记录IP网络数据包的能力Disadvantages编写新规则后无法即时生效，需要重启Snort吞吐量不高约为100Mbps，因为数据抓包方式仅采用libpcap规则组织采用链表，匹配时会沿着链表一一匹配，效率低
Snort2.x版本重新优化了规则匹配的数据结构，对规则进行了再分类，匹配性能有一定提升，详见：Snort快速规则匹配模块剖析System Indicators吞吐量及内存消耗（Snort VS Snort+Hyperscan）Snort原始性能由于严重依赖操作系统的libpcap，所以性能瓶颈在100Mbps左右，集成Hyperscan后性能约为500Mbps，但离商用的20Gbps仍有距离Snort作为轻量级快部署的入侵检测系统，内存消耗方面表现优秀，约为60MB，集成Hyperscan后可降低为5.5MB2. 可扩展性可自定义开发集成插件(snortsam)，即检测算法替换或扩展，报文预处理，日志显示等，插件替换灵活，支持热插拔可集成Hyperscan；daq模块可集成DPDK（https://github.com/NachtZ/daq_dpdk），性能可达到10.00Gbps，但只能针对单向流量，无法处理类似tcp协议的双向流量准确率及误报率与规则配置文件强相关，而且当网络流量高于100Mbps时，误报率会急剧上升Product Comparison项目SnortSuricata开发公司Sourcefire，Inc
开放信息安全基金会（OISF）可用性自1998年以来自2009年以来编程语言CC操作系统跨平台跨平台稳定版本3.0（2018年8月29）4.05（2018年7月18日）线程多线程多线程IPv6支持支持支持Snort（VRT）规则支持支持支持新兴威胁规则支持支持支持记录格式Unified2Unified2Aanval兼容性支持支持抓包方式PF_RING，netmap等仅为libpcapTestCase评测，详见：https://www.aldeid.com/wiki/Suricata-vs-snortTest GroupPriority# of testsSuricata scoreSnort score测试规则支持3868网络拥塞情况2411分片数据包2213多次失败登录3110绕过技巧2152129恶意软件&病毒31497Shellcodes311127拒绝服务(DoS)3333客户端攻击3257127157性能3021内生安全能力 Inline/Prevention capabilities2011TOTAL (unweighted sum)315184217TOTAL (weighted sum)315528617