snort将所有已知的攻击以规则的形式放在规则库中，规则库中的每条规则条目分为两个部分：规则头（RuleHeader）和规则选项（RuleOption）。

这是Snort中一条事件定义：alert tcp $EXTERNAL_NET any-> $HOME_NET any(msg:”SCANNULL”;flags:0;seq:0;ack:0;reference:arachnids,4;classtype:attempted-recon; sid:623; rev:1;)

Snort采用了一种二维链表的结构，维护规则库： 其中RuleHeader决定了该规则条目处于二维链表横向的哪一个节点上RTN（Rule Tree Node）； RuleOption决定了该规则条目处于二维链表纵向的哪一个节点上OTN（Optional Tree Node）。

规则头部的动作相同的单元都放在对应动作的管理链表中。

规则选项简称为OTN；每个RTN持有RuleFpList和OTN链表，前者是使用RTN中属性触发进行二次处理的回调函数，后者是规则选项集合。 如下图所示,每个规则选项又持有OptFpList链表，该链表中存放的主要是对匹配规则选项处理时的一些通用回调函数，其是由解析规则选项的键值对时选择性的初始化并放入OTN中的.

Snort从2.0版本开始引入规则快速匹配引擎，基本思想是通过规则中的目的端口和源端口，进行二次分类，以提高规则的检测匹配效率：

快速匹配引擎，包含四个重要结构.构建快速规则匹配引擎，主要是对这几个数据结构进行填充：