D'après l'auteur de Snort, les IDS - et la plupart des solutions de sécurité - sont conçus autour du principe que l'on sait ce que l'on doit défendre. Et si on protège effectivement assez bien ce que l'on connaît, pour le reste ce serait plutôt le trou noir. Ce serait donc avant tout ce que l'on ne connaît pas - le zero-knowledge - qu'il faudrait surveiller, avant de s'inquiéter du zero-day sur des actifs connus.

"Lorsque tout aura échoué, y compris l'IDS, tout ce qui pourra encore fonctionner c'est la détection des changements illicites : dans le profil du trafic, dans le contenu d'un serveur, dans ses ports ouverts, dans la présence ou l'absence d'une machine, etc...", précise Martin Roesch.
Notons, au passage, qu'une telle analyse ne fait de toute manière pas la différence entre attaques connues et inconnues, ce qui évite de manière fort opportune à Sourcefire de se poser le problème du zero-day, l'habituelle épine des IDS.

Et ce n'est donc pas une surprise si cette approche est celle suivie par Sourcefire pour préparer l'avenir de Snort : avec RNA l'éditeur tente d'observer et de corréler les événements sur le réseau. Aujourd'hui pour affiner en temps réel les règles utilisées par l'IDS, mais demain pour en identifier les abus. "Il y a vraiment beaucoup d'information à tirer de l'observation du réseau si l'on sait où regarder : qui parle à qui, comment, selon quel protocole, quand, quel type de requêtes échangent-ils, etc... C'est à mon sens là que réside le futur de l'IDS", conclue Martin Roesch.