Aho–Corasick算法是由Alfred V. Aho和Margaret J.Corasick 发明的字符串搜索算法，用于在输入的一串字符串中匹配有限组“字典”中的子串。它与普通字符串匹配的不同点在于同时与所有字典串进行匹配。

tcp协议上的应用层协议检测时，需要做数据重组，这里简单介绍reassembly逻辑。

FlowWorker线程模块的处理函数为FlowWorker，主要包括五部分功能，分别是Flow处理、应用层协议识别、特征检测、输出、tcp segment清理。这里简单记录flow的处理。

suricata中receive和decode两个模块总是在一个线程中，而且每种receive模块都对应一个自己的decode模块，因此这里记录在一起。这两个模块的主要目标是根据收取的数据包填充合适的Packet结构，交由flowworker进行后续处理。decode阶段同时做了分片数据包重组、隧道数据包解封装等处理。

查看suricata源码时，看到有使用Tail queue作为内存存储配置文件解析内容的结构，这里对Tail queue这个结构及其操作方式做部分记录。

阅读suricata源码时注意到有检查CPPCHECK这个宏。
当CPPCHECK==1时，进行简单的宏定义。其他情况进行复杂的宏定义。