本研究首次系统性地描述了I2P匿名网络中一个未被现有文献刻画的结构性子层——"Exclusive Network"。在I2P的P2P架构中，大多数节点会发布RouterInfo记录到分布式数据库NetDB，但Exclusive Network中的节点不发布任何记录，却仍然能够使用I2P的路由资源并保持其托管服务的持续可达性。作者在三个节点的受控测试环境中验证了该特性：即使从路由器池中发起连续的洪泛查询（floodfill），Exclusive Network节点的NetDB命中结果始终为零，但其服务对授权对等节点依然可用。这种隐蔽性使得该子层非常适合被恶意软件用于持久化命令与控制（C2）操作，例如已记录的基于I2P的木马I2PRAT（RATatouille）就能利用这一层逃避检测，针对国家资产或企业网络进行长期控制。该结构在性质上类似于国家级操作的中继盒（ORB）基础设施。论文指出，由于该子层无法通过自上而下的经验映射方法刻画，因此需要转向形式化分析方法来理解I2P中隐蔽网络的涌现和行为。本研究为安全防御者揭示了I2P中一个全新的攻击面，并提出了未来检测和防御的可能方向。

本文研究AI辅助自动化扫描工具对互联网背景流量的影响，特别是对工业控制系统（ICS）和工业物联网（IIoT）入侵检测系统（IDS）基线假设的挑战。研究者利用Merit ORION网络望远镜收集的2021年和2025年两个时间节点的192百万被动暗网数据包，构建了模块化分析流水线，计算平均数据包速率、全局香农熵、到达间隔时间（IAT）突发性、地理归属以及针对关键工业协议的目标端口分布等指标。结果显示，ICS相关端口的流量占比在四年间从0.82%上升至1.51%，且具有高度分布式但有精准目标的特点。突发性分析进一步发现现代僵尸网络采用微步进（micro-pacing）行为（1ms-100ms延迟），以平滑总体流量并规避基于阈值的检测。在模拟的基于异常的IDS中，这些规避技术导致97.47%的现代僵尸网络流量未被检测到；作为补偿，增加灵敏度后误报率高达68.10%，揭示了OT环境中严重的可见性和告警缺陷。该研究为ICS/IIoT安全防御策略提供了重要实证，建议安全从业者重新评估现有IDS的阈值设定，并探索基于行为模式的新型检测方法。