Lee,<div><br></div><div>As the others have said, Snort does not support NetFlow data.  NetFlow, while incrediblly useful, serves a distinctly different purpose than Snort.  NetFlow data, from an intrustion perspective, hinges on both an understanding of "normal" and some pretty serious statistical analysis on the back end.  The main advantages to NetFlow is that it is data agnostic, so that encryption does not impact the system and the very small footprint of NetFlow data.</div>
<div><br></div><div>Snort, on the other hand, focuses directly on the data, looking for indicators of attack within the payload.  They are both valuable approaches, but they are distinct enough that there is no value in integrating the operations together.  There are several open source netflow tools.  I'd recommend you check out <a href="http://cosi-nms.sourceforge.net/related.html">http://cosi-nms.sourceforge.net/related.html</a> to start your investigations.<br>
<br>Matt</div><div><br></div><div>p.s. Somebody wrote a money paper for their GIAC on this: <a href="http://www.giac.com/certified_professionals/practicals/gsec/4025.php">http://www.giac.com/certified_professionals/practicals/gsec/4025.php</a></div>
<div><br><div class="gmail_quote">2011/2/14  <span dir="ltr"><<a href="mailto:lixi0513@...3568...">lixi0513@...3568...</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">




<div>
HI snort,<br>
Hope you are well <br>
 <br>
i'd need a help if possible.i want to use NetFlow data with snort.<br>
Does snort monitor with NetFlow data by default setting ? if not what i should do ?<br>
 <br>
thanks very much <br>
 <br>
lee<br>
2011/2/14<br>                                       </div>
</blockquote></div><br></div>