这是一个非常笼统的问题。

您的关注不仅仅与 Snort 相关，这完全取决于您安装它的平台（o/s - 是的，它确实在 Windows、CPU、内存等上运行）以及哪些元素（用于碎片或流重组的预处理器) 启用的 Snort（查看配置文件，通常是 /etc/snort.conf 以获取更多信息）以及启用或添加的规则。

如果你想测试它，我建议下载 Security Onion (http://securityonion.blogspot.com)，这是一个基于 Xubuntu 的网络安全监控发行版，它同时带有 Snort 和 Suricata。这是一个很棒的项目，而且很容易学习，因为一切基本上都是预先配置的。（免责声明：我试图帮助安全洋葱项目）。

Snort 具有很强的可扩展性，我知道它在超过 20gb/s 的网络中被积极使用，但请记住上面的平台方面。

此外，Snort 和 Suricata 都为其用户提供了活跃的邮件列表，其中积极讨论了此类性能问题。

我确信像 Tipping Point、Sourcefire（Snort 的商业方面）、Enterasys（如果他们还在的话）、Cisco 等供应商在他们的网站上有比较白皮书，但要注意他们的偏见。

关于“规则大小”和“准确性”方面，这些现在变得有点像 AV 行业，“我比你大”。

这里有一些链接给你 -

http://www.aldeid.com/wiki/Suricata-vs-snort

http://www.ethicalhacker.net/component/option,com_smf/Itemid,54/topic,7913.msg42307/topicseen,1/

和一个旧的

http://www.infosyssec.com/forum/viewtopic.php?t=14