Estoy buscando datos y cifras de investigaciones o encuestas realizadas que incluyan a Snort con otros IDS / IPS en diversos parámetros, como rendimiento general, precisión, velocidad, documentación, escalabilidad, etc.
Esa es una pregunta muy general.
Su preocupación no debería ser sólo en relación con Snort, todo depende de la plataforma en la que lo instale (o / s - sí, se ejecuta en Windows, CPU, memoria, etc.) y en qué elementos (preprocesadores para la fragmentación). o reensamblado de la secuencia) de Snort que habilita (busque en el archivo de configuración, generalmente /etc/snort.conf, para obtener más información) y qué reglas habilita o agrega.
Si desea probarlo, sugeriría descargar Security Onion (http://securityonion.blogspot.com), una distribución de monitoreo de seguridad de red basada en Xubuntu, ya que viene con Snort y Suricata. Es un proyecto fantástico y muy fácil de aprender ya que todo está esencialmente preconfigurado. (Descargo de responsabilidad: trato de ayudar con el proyecto Security Onion).
Snort es muy escalable y sé que se usa activamente en redes con más de 20 gb / s, pero recuerda el aspecto de la plataforma anterior.
Además, tanto Snort como Suricata tienen listas de correo activas para sus usuarios donde se discuten activamente tales problemas de rendimiento.
Estoy seguro de que proveedores como Tipping Point, Sourcefire (aspecto comercial de Snort), Enterasys (si todavía existen), Cisco, etc. tienen informes técnicos de comparación en sus sitios, pero tengan cuidado con su sesgo.
Con respecto a los aspectos de 'tamaño de la regla' y 'precisión', estos se están volviendo un poco como la industria de AV ahora con el argumento "Soy más grande que tú".
Aquí hay algunos enlaces para ti -
y uno viejo