本文研究AI辅助自动化扫描工具对互联网背景流量的影响，特别是对工业控制系统（ICS）和工业物联网（IIoT）入侵检测系统（IDS）基线假设的挑战。研究者利用Merit ORION网络望远镜收集的2021年和2025年两个时间节点的192百万被动暗网数据包，构建了模块化分析流水线，计算平均数据包速率、全局香农熵、到达间隔时间（IAT）突发性、地理归属以及针对关键工业协议的目标端口分布等指标。结果显示，ICS相关端口的流量占比在四年间从0.82%上升至1.51%，且具有高度分布式但有精准目标的特点。突发性分析进一步发现现代僵尸网络采用微步进（micro-pacing）行为（1ms-100ms延迟），以平滑总体流量并规避基于阈值的检测。在模拟的基于异常的IDS中，这些规避技术导致97.47%的现代僵尸网络流量未被检测到；作为补偿，增加灵敏度后误报率高达68.10%，揭示了OT环境中严重的可见性和告警缺陷。该研究为ICS/IIoT安全防御策略提供了重要实证，建议安全从业者重新评估现有IDS的阈值设定，并探索基于行为模式的新型检测方法。

本文研究了BACnet协议中隐式保留字段（implicitly reserved fields）的安全性问题。BACnet（Building Automation and Control Network）是楼宇自动化和控制网络中广泛应用的标准协议，用于暖通空调、照明、安防等系统的互操作。作者发现，BACnet协议规范中定义了一些保留字段，这些字段本应被忽略或设置为零，但实际实现中，不同厂商的设备对这些字段的处理方式不一致，可能导致安全漏洞。通过逆向工程和实际测试，作者揭示了攻击者可以利用这些保留字段注入恶意数据、绕过访问控制或实施拒绝服务攻击。具体地，论文提出了“BADnet”攻击方法，能够利用保留字段的歧义性破坏BACnet设备的正常通信。实验在多个商用BACnet设备上进行，验证了攻击的有效性。本文的主要贡献包括：首次系统分析BACnet保留字段的安全风险；提出并实现了BADnet攻击框架；为BACnet协议的安全增强提供了建议，如明确保留字段的处理规范和增加完整性校验。该研究对于工业控制系统安全、特别是智能楼宇安全具有重要参考价值。由于本文仅为arXiv预印本，未提供实验复现细节，故置信度设为abstract_only。