メモリ消費量云々が気になったので、Snortのマニュアル(2.7.0版)を眺めてみたら、なんかアルゴリズムの選択肢いっぱいあることに気づく。基本はAho-Corasickという検索方法なんだけど、細かく再分化されていて、7種類もある。そのうち、ac-bnfaってのが一番メモリを食わないっぽい。他の報告でも、lowmemというアルゴリズムが元々メモリ少ない場合向けのアルゴリズムなのにもかかわらず、それより若干メモリ使用量が少ない、ということだった。
つーことで、1GBくらいsnortに食われても痛くない、というマシンで監視しているのでもなければ、ac-bnfaを使うのが一番よさげな雰囲気だ。

…しかし、configで指定できるデリバティブ、増えたなー。某豚本の翻訳時には使えないのも多かったのに。なんせ中にはconfig指定のあるsnort.conf使って起動したらcore吐いて落ちた、なんてのもあったし(遠い目
一度しっかり調査してみることにしよう…タイムラグ考えて2.7系列あたりで(ｗ