Дмитрий, я Вам очень рекомендую не пользоваться snort'ом. Уж слишком опасные уязвимости в нем находят. В случае с ssh лучше использовать технологию port_knocking или просто перевесить на другой порт.