Sto cercando fatti e cifre di ricerche o sondaggi fatti che hanno Snort con benchmark con altri IDS / IPS su vari parametri come prestazioni complessive, accuratezza, velocità, documentazione, scalabilità ecc.
Questa è una domanda molto generica.
La tua preoccupazione non dovrebbe essere solo in relazione a Snort, dipende tutto dalla piattaforma su cui lo installi (o / s - sì, funziona su Windows, CPU, memoria, ecc.) e quali elementi (pre-processori per la frammentazione o riorganizza il riassemblaggio) di Snort che abiliti (guarda nel file di configurazione, in genere /etc/snort.conf, per maggiori informazioni) e quali regole abiliti o aggiungi.
Se vuoi metterlo alla prova, ti suggerisco di scaricare Security Onion (http://securityonion.blogspot.com), una distribuzione di Network Security Monitoring basata su Xubuntu, sia con Snort che con Suricata. È un progetto fantastico e facile da apprendere visto che tutto è essenzialmente preconfigurato. (Disclaimer: cerco di dare una mano con il progetto Security Onion).
Snort è molto scalabile e so che viene utilizzato attivamente nelle reti con oltre 20 GB / s, ma ricorda l'aspetto della piattaforma sopra.
Inoltre, sia Snort che Suricata hanno mailing list attive per i loro utenti in cui tali problemi di prestazioni sono discussi attivamente.
Sono sicuro che venditori come Tipping Point, Sourcefire (aspetto commerciale di Snort), Enterasys (se sono ancora in circolazione), Cisco ecc. hanno white paper di comparazione sui loro siti ma fanno attenzione ai loro pregiudizi.
Riguardo agli aspetti della "dimensione della regola" e della "precisione", questi stanno diventando un po 'come l'industria AV con "Io sono più grande del tuo argomento".
Ecco alcuni link per te -
e uno vecchio