Snort规则强大而灵活，而且编写相对简单。最好从VRT（Sourcefire Vulnerability Research Team）认证的规则开始，因为他们的编写最好，但是还有其他的规则资源。如果已经下载了已有的IDS规则，就可以根据需要修改规则。

　　在开始前，先查看Snort.org的常见疑难问答，可以在这里下载最新的VRT规则。（查阅How to decipher the Oinkcode）。阅读这些规则、修改并实验（当然是在测试环境中）。如果已有的Snort规则不能按照想要的方式工作，就可以做些修改。下面是如何做。

　　所有的Snort规则都遵循一个简单的格式，这个格式应该检查一下。首先是SID和Rev（revision）的笔记。SID是Snort规则ID（也就是Signature ID）。Snort.org保留了不到一百万条的“官方”规则，而Bleeding Snort使用的SID超过了两百万。如果修改一条规则，就在SID中增加了一百万，所以可以跟踪到原始的。如果要创建新规则，使用起点是九百万的SID。当做出改变或者规则更改控制完成时增加修订。

　　有些Snort规则是空地址规则文件。不要使用它，或者你的自定义IDS规则可以在下一次安装新的规则的时候重写空文件。创建一个或者两个文件，例如company_prod.rules和company_test.rules，并在snort.conf文件中增加包含语句。可以在一台计算机和接口上运行多个Snort，这对于测试规则很有用，但是在和产品平行的旧的PC上运行测试版的Snort可能会更早、也更安全。

　　下面是一条简单的Snort规则：
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids，162; classtype:attempted-recon; sid:469; rev:3;)

这　　些代码的意思是：如果发现了定义为(default = any)的$EXTERNAL_NET ICMP内容到定义为(default = any)的$HOME_NET的ICMP包就发送一个警告；如果数据大小（dsize）是0，而ICMP类型（itype）是8（就是echo（request））。（还可以查看http://www.snort.org/pub-bin/sigs.cgi？sid=469）除“警告”外的其他动作包括，但不止是，登录和通过。这种情况下的协议是ICMP，但是也支持IP， TCP和UDP。变量需要在配置文件中定义，并添加美元符号前缀。

　　SID469不是很好的规则。它会产生很多的假阳性，因为它相当“宽容”。除了NMAP外的其他应用发送没有任何负载的echo request包，而且没有其他标准可以是这条规则“更严格”或者更详细。下面是一条较好的规则：
alert udp $EXTERNAL_NET any -> $SQL_SERVERS any (msg:"MS-SQL probe response overflow attempt"; content:"|05|"; depth:1; byte_test:2，>，512，1; content:"|3B|"; distance:0; isdataat:512，relative; content:!"|3B|"; within:512; reference:bugtraq，9407; reference:cve，2003-0903; reference:url，www.microsoft.com/technet/security/bulletin/MS04-003.mspx; classtype:attempted-user; sid:2329; rev:6;)

　　由于空间限制，我不能解释这条规则的每个细节，但是你只要看看就可以发现它很详细。你还可能注意到这些例子包括对外部资源的参考。查看Snort“etc”目录下的“reference.config”文件中的url，或者查看Snort网站上的SID中的规则文件，包括这些参考资料的连接。

　　Snort 2.1.0版本引入了PCRE（Perl Compatible Regular Expressions）、thresholding和suppression，所有的这些对适当的调制都很严格。PCRE允许在规则中使用Regular Expression，所以你搜索的很详细。三种类型的thresholding允许限制“噪杂”规则以各种方式发送的警告的数量，而且可以写入自定义规则，或者放置在单独的配置文件中，例如threshold.conf。特别是，你可以使用外部文件 “调制”官方Snort.org规则。而不需要实际修改这些规则，这就使更新更加简单了。Suppression命令允许在哪些设备允许或者不允许触发警告上更加细致具体。例如，如果你在10.1.1.54上有网络管理工作站，使用“public”社区字符串选择SNMP设备（这样很不好，对吧？）。你可以使用下面的规则来抑制这个情况：suppress gen_id 1， sig_id 1411， track by_src， ip 10.1.1.54

　　我们只是提到了表面。更全面的信息请查看Snort.org上的Snort用户手动指南，并从Snort.org和BleedingSnort.com上获取目前的规则。“readme”文件中包括Snort的源代码，这些源代码可以下载、检查来学习更多。如果你不想下载源代码，可以访问Snort CVS Repository网页上的Snort源代码、文档和废弃的规则。注意CVS库中的规则没有像2005年四月那样做维护，虽然有一些这方面的讨论，也可能会做出一些改变。可以阅读Snort.org上的文档或者加入Snort的Sigs（Special Interest Group）邮件表。