该论文针对网络安全中加密数据片段识别的关键问题展开研究，特别是在勒索软件检测、数字取证和大规模数据分析等场景下，准确区分加密与压缩数据片段至关重要。然而，短片段缺乏结构信息且统计冗余度低，传统基于字节级分布的统计方法效果有限。近期机器学习方法通过从原始字节中学习微妙模式提升了性能，但大多依赖单模态表示，假设单一视角足以完成分类。论文指出，在仅获得512-2048字节小片段的低信息场景下，该假设成为根本性局限。为此，作者提出Triumvir，一种多模态、不确定性感知的集成架构，融合了原始字节片段的统计、序列和空间三种表示。通过广泛的实验分析，Triumvir在二分类任务中持续超越最先进方法，增益高达+4.5个百分点；在多分类任务中增益达+6.4个百分点。消融研究证实，结合多种模态至关重要，相比部分配置可获得最高+5个百分点的提升。该工作为低信息环境下加密流量分类提供了新思路，适合网络安全研究人员和从业者阅读。

该论文提出了一种名为PLM-NIDS的协议语言模型网络入侵检测系统，其核心思想是将网络流视为一种语言，其语法完全由L3/L4数据包元数据（长度、到达间隔时间、TTL、TCP标志和哈希端口号）构成，从而避免了对加密载荷的深度包检测（DPI）。作者首先证明了良性网络流存在可学习的语法结构：使用RWKV-4状态空间模型在344,232个未标记的Monday流数据上训练，因果语言模型验证损失达到0.204，表明良性流量具有可预测的统计一致性。其次，攻击行为违反了该语法：在无攻击标签训练的情况下，每个流的困惑度（perplexity）得分能干净地区分良性和攻击流，PR-AUC达到0.93。第三，这种分离能力在架构上是非平凡的：在相同输入序列上训练的LSTM退化为多数类预测器（ROC-AUC约0.50，F1=0.91，始终预测攻击），证明RWKV的因果预训练提供了直接分类器无法获得的归纳偏置。监督微调进一步将PR-AUC提升至0.94，ROC-AUC达到0.75，在标定操作阈值上精确度为97.7%。RWKV骨干的O(T)循环推理使得无需流缓冲即可进行逐包流式处理，从而使PLM-NIDS在线速下操作可行。由于仅读取IP/TCP/UDP头部，该方法本质上是加密无关的，可透明处理TLS 1.3、QUIC及未来加密协议。