该论文提出了一种名为PLM-NIDS的协议语言模型网络入侵检测系统，其核心思想是将网络流视为一种语言，其语法完全由L3/L4数据包元数据（长度、到达间隔时间、TTL、TCP标志和哈希端口号）构成，从而避免了对加密载荷的深度包检测（DPI）。作者首先证明了良性网络流存在可学习的语法结构：使用RWKV-4状态空间模型在344,232个未标记的Monday流数据上训练，因果语言模型验证损失达到0.204，表明良性流量具有可预测的统计一致性。其次，攻击行为违反了该语法：在无攻击标签训练的情况下，每个流的困惑度（perplexity）得分能干净地区分良性和攻击流，PR-AUC达到0.93。第三，这种分离能力在架构上是非平凡的：在相同输入序列上训练的LSTM退化为多数类预测器（ROC-AUC约0.50，F1=0.91，始终预测攻击），证明RWKV的因果预训练提供了直接分类器无法获得的归纳偏置。监督微调进一步将PR-AUC提升至0.94，ROC-AUC达到0.75，在标定操作阈值上精确度为97.7%。RWKV骨干的O(T)循环推理使得无需流缓冲即可进行逐包流式处理，从而使PLM-NIDS在线速下操作可行。由于仅读取IP/TCP/UDP头部，该方法本质上是加密无关的，可透明处理TLS 1.3、QUIC及未来加密协议。