В настоящее время наибольшую угрозу представляют распределенные атаки, которые обычными средствами мониторинга не могут быть выявлены. Так например сканирование портов, фишинг, вложение милых котиков, рассылки с отчетами фин директоров кассирам и менеджерам нижнего звена легко детектируются, ибо понятен общий принцип. Распределенные атаки (подразумевается как по времени так и по методам компрометации критически важных узлов безопасности) опасны именно тем, что выявление активности в сети не выглядит явным образом до достижения критического уровня контроля злоумышленниками и или утечки конфиденциальной информации (причем второе без обнаружения является более существенной проблемой). Вот такие действия и позволяет выявлять ИИ. Т.е. на основании слабоструктурированной сетевой активности защищаемого периметра, можно выявить системные действия зловреда и или злоумышленника и обратить на них внимание офицера безопасности. А дальше уже дело техники по детерминированию методов и способов, определению объемов и порядка работ по локализации и противодействию (в особых случаях раздача плюшек нарушителям протокола и или обновление оного). Без ИИ пришлось бы на интуитивном уровне (жепного чутья админа) либо по факту обнаружения (что как правило катастрофично).