Zusätzlich können Anwender auch eigene Filterregeln schreiben, was eine feinere Abstimmung des IDS auf die individuelle Umgebung erlaubt. Dies setzt allerdings das Erlernen der speziellen Regelsyntax voraus. Zum Abgleich der Muster mit dem Paketinhalt bietet Snort die drei Algorithmen Aho-Corasick, Wu-Manber und Boyer-Moore an. Stimmt der Paketinhalt mit einer der in der Detection Engine hinterlegten Signaturen überein (Pattern-Matching), wird der Mustervergleich verlassen, der Angriff protokolliert und eine Alarmmeldung generiert. Darüber hinaus beinhaltet die Detection Engine integrierte Plugins, über die Programme von Drittanbietern verlinkt werden können. "Snortsam" zum Beispiel bietet die Möglichkeit, die Detection Engine mit der Firewall zu verbinden. Erkennt das System einen Exploit, kann die Firewall die entsprechende Quell-IP-Adresse blockieren.

Weiterleitung der Alarme an SQL-Datenbanken

Die Alarmmeldung wird in einer Log-Datei abgelegt oder über eine Netzwerkverbindung gesendet. Ist ein Samba-smbclient auf dem System installiert, lassen sich auch Windows-Popup-Meldungen nutzen. Der Alarm kann ebenso an SQL-Datenbanken von MySQL, Postgres oder Oracle gesendet und dort gespeichert werden. Eine Echtzeitbenachrichtigung des Systemadministrators per E-Mail ist mit Hilfe von Syslog-Tools wie Swatch möglich, das unter swatch.sourceforge.net zu beziehen ist.