Sau khi các gói tin đi qua bộ tiền xử lý, chúng được chuyển đến bộ phận phát hiện xâm nhập. Nếu một gói tin giống với bất kỳ luật nào, chúng sẽ được gửi đến bộ xử lý cảnh báo.
Bộ phận phát hiện xâm nhập và các bộ luật chiếm một phần rất lớn trong số những kiến thức phải biết để hiểu được Snort. Snort có những cú pháp lệnh riêng để sử dụng với các bộ luật. Các cú pháp này có thể liên quan đến giao thức mạng, nội dung, chiều dài, phần header và rất nhiều những thành phần khác, bao gồm cả những đặc điểm để nhận dạng buffer overflow.
Snort dùng các rules để phát hiện ra các xâm nhập trên mạng. Xem rules sau: alert tcp !192.168.0.0/24 any -> any any (flags: SF; msg: “SYN-FIN Scan”;)
Một rules có hai thành phần: Header và Option Header: alert tcp !192.168.0.0/24 any -> any any Option: (flags: SF; msg: “SYN-FIN Scan”;)
Hình 2-16 Bộ phát hiện xâm nhập
Mỗi dấu hiệu xâm nhập sẽ được thể hiện bằng một rule. Vậy Snort quản lý tập các rules như thế nào? Snort dùng cấu trúc dữ liệu để quản lý các rules gọi là Chain Headers và Chain Options. Cấu trúc dữ liệu này bao gồm một dãy các Header và mỗi Header sẽ liên kết đến dãy các Option. Sở dĩ dựa trên các Header là vì đây là thành phần ít thay đổi của những rules được viết cho cùng một kiểu phát hiện xâm nhập và Option là thành phần dễ được sửa đổi nhất.
Ví dụ: chúng ta có 60 rules được viết cho kiểu thăm dò CGI-BIN, thực chất các rules này có chung IP source, IP đích, port source, port đích, nghĩa là có chung Header. Mỗi packet sẽ được so trùng lần lượt trong các dãy cho đến khi tìm thấy mẫu đầu tiên thì hành động tương ứng sẽ được thực hiện.