Network Traffic Analysis with Process Mining: The UPSIDE Case Study

Diese Studie stellt eine Methode vor, die Prozessmining nutzt, um Netzwerkverkehr von Videospielen wie Clash Royale und Rocket League zu analysieren, interpretierbare Petri-Netze zur Zustandsmodellierung zu generieren und die Spiele basierend auf dem Datenverkehr erfolgreich zu klassifizieren.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschungspapier, als würde man sie einem Freund beim Kaffee erzählen – ohne komplizierte Fachbegriffe, aber mit ein paar anschaulichen Bildern.

🎮 Das große Problem: Der Lärm im digitalen Stadion

Stell dir vor, du bist auf einem riesigen, überfüllten Sportstadion. Tausende von Leuten schreien, klatschen, pfeifen und rennen. Für einen normalen Beobachter ist das nur ein riesiges, unverständliches Chaos aus Lärm.

Genau so sieht es für Computer aus, wenn sie den Datenverkehr von Online-Spielen analysieren. Tausende von Geräten (Handys, Konsolen) senden gleichzeitig Nachrichten an die Spielserver. Das ist wie der Lärm im Stadion: riesig, chaotisch und schwer zu verstehen.

Bisher haben Forscher versucht, dieses Chaos mit „Black-Box"-KI (künstlicher Intelligenz) zu lösen. Das ist wie ein Zauberer, der sagt: „Ich weiß, dass hier jemand Clash Royale spielt, aber ich kann dir nicht erklären, warum." Das ist gut für die Vorhersage, aber schlecht, wenn man verstehen will, was eigentlich passiert.

🕵️‍♂️ Die neue Lösung: Ein Detektiv mit einer Lupe

Die Autoren dieses Papiers (Francesco, Massimiliano, Nicola und Paolo) haben eine andere Idee: Process Mining.

Stell dir vor, sie sind Detektive, die nicht nur hören, dass jemand schreit, sondern die Schritte der Menschen im Stadion genau aufzeichnen. Sie sagen: „Aha! Wenn jemand Clash Royale spielt, läuft er immer erst drei Schritte vorwärts, macht eine Pause, wirft einen Ball und rennt zurück. Wenn jemand Rocket League spielt, läuft er in einem Zickzack-Muster."

Ihre Methode macht genau das mit den Daten:

1. Sie hören auf das Chaos: Sie nehmen den riesigen Datenstrom (den Lärm).
2. Sie schneiden ihn in kleine Stücke: Sie teilen die Daten in kleine Zeitfenster (wie kleine Schnappschüsse).
3. Sie finden Muster: Sie nutzen eine Technik namens „Clustering" (Gruppieren), um zu sagen: „Diese Datenstücke sehen alle gleich aus. Das ist ein bestimmter Zustand."
4. Sie zeichnen eine Landkarte: Hier kommt der Clou: Sie übersetzen diese Zustände in Petri-Netze.

🗺️ Was ist ein Petri-Netz? (Die Landkarte)

Ein Petri-Netz ist wie eine Bauanleitung oder ein Flussdiagramm, das man leicht lesen kann.

• Stell dir vor, es ist ein Spielbrett.
• Die Kreise sind Stationen (Zustände).
• Die Pfeile zeigen, wohin man gehen darf.

Wenn die Forscher das Netz für Clash Royale zeichnen, sieht es aus wie ein bestimmter Weg durch das Stadion. Wenn sie das Netz für Rocket League zeichnen, sieht der Weg ganz anders aus. Das Tolle ist: Man kann das Netz mit bloßem Auge ansehen und sofort sagen: „Oh, hier muss der Spieler eine Nachricht senden, bevor er eine Antwort bekommt." Das ist erklärbar.

🧪 Der Test: Das UPSIDE-Experiment

Die Forscher haben ihre Methode an einem echten Event getestet, dem „UPSIDE"-Gaming-Turnier.

• Die Spieler: 8 Leute spielten Clash Royale (ein Strategiespiel, bei dem man Karten wirft).
• Die anderen: 4 Leute spielten Rocket League (Fußball mit Autos).
• Die Aufgabe: Die Forscher haben nur den Datenverkehr mitgeschnitten, ohne zu wissen, wer was spielt.

Das Ergebnis:
Ihre Methode war wie ein genialer Schiedsrichter. Sie konnte den Datenverkehr der Clash Royale-Spieler von dem der Rocket League-Spieler unterscheiden, und zwar mit einer Genauigkeit von über 88 %.

Aber noch wichtiger: Sie konnten zeigen, warum sie das unterschieden haben.

• Bei Clash Royale sahen sie ein Muster: Der Spieler schickt viele kleine, schnelle Nachrichten (wie ein rasender Bote).
• Bei Rocket League sahen sie ein anderes Muster: Die Autos senden große Datenpakete in einem anderen Rhythmus.

🌟 Warum ist das so wichtig?

1. Kein „Zaubertrick" mehr: Früher sagten Computer nur das Ergebnis. Jetzt können sie sagen: „Ich weiß, es ist Clash Royale, weil das Datenmuster genau wie diese Landkarte aussieht."
2. Sicherheit: Wenn jemand versucht, das Netzwerk zu hacken oder zu stören, sieht das Muster sofort anders aus (wie ein Fremder im Stadion, der gegen den Strom läuft). Das kann man sofort erkennen.
3. Bessere Netze: Wenn man genau weiß, wie die Daten fließen, kann man das Internet besser planen, damit das Spiel nicht ruckelt.

🎯 Fazit in einem Satz

Die Forscher haben eine Methode entwickelt, die den chaotischen Lärm von Online-Spielen in klare, verständliche Landkarten (Petri-Netze) verwandelt, sodass man nicht nur weiß, welches Spiel gespielt wird, sondern auch genau versteht, wie es im Hintergrund funktioniert.

Es ist der Unterschied zwischen einem Zauberer, der einfach nur sagt „Abracadabra", und einem Ingenieur, der dir den Bauplan des Zaubertricks zeigt.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Network Traffic Analysis with Process Mining: The UPSIDE Case Study" auf Deutsch:

1. Problemstellung

Das Online-Gaming ist ein wachsender Markt, der komplexe Netzwerkinfrastrukturen und hohe Datenmengen erfordert. Die Analyse des durch Gaming generierten Netzwerkverkehrs ist entscheidend für die Bewertung der Bandbreitennutzung, die Vorhersage von Lastspitzen und die Erkennung bösartiger Aktivitäten.
Herausforderungen bestehen darin:

• Interpretierbarkeit: Deep-Learning-Ansätze für die Verkehrsanalyse sind oft „Black-Box"-Modelle mit geringer Erklärbarkeit.
• Datenkomplexität: Netzwerkdaten sind verrauscht, überlagert (interleaved) und oft ohne vorab bekannte Kontextinformationen (z. B. welche Aktivität den Verkehr ausgelöst hat) aufgezeichnet.
• Anwendungslücke: Es gibt kaum Anwendungen von Process Mining (Prozess-Mining) speziell für die Analyse von Netzwerkverkehr in Videospielen, da die Identifizierung sinnvoller „Cases" (z. B. einzelne Datenflüsse) in diesem Rauschen schwierig ist.

2. Methodik

Die Autoren schlagen eine unüberwachte, auf Process Mining basierende Methode vor, um Netzwerkverkehrszustände in interpretierbare Verhaltensmodelle (Petri-Netze) zu kodieren. Der Ansatz gliedert sich in vier Phasen (siehe Abb. 1 im Paper):

1. Netzwerkverkehrs-Monitoring:

   • Erfassung von Rohdaten (PCAP-Dateien) von mehreren Geräten, die mit Game-Servern kommunizieren.
   • Modellierung als bipartiter Graph aus Geräten und Servern.

2. Feature-Extraktion:

   • Protokoll-Parsing: Isolierung des TCP-Verkehrs und Extraktion von Metadaten (IP, Ports, TCP-Flags, Payload-Größe).
   • Windowing: Anwendung eines gleitenden Fensters (Sliding Window) auf die Paketdaten, um synthetische Features zu extrahieren (z. B. Anzahl der ACK/SYN-Flags, durchschnittliche Payload-Größe pro Fenster). Dies wandelt den kontinuierlichen Strom in strukturierte Datenfenster um.

3. Zustandscharakterisierung (State Characterization):

   • Unüberwachtes Clustering: Da keine gelabelten Daten vorliegen, wird ein Clustering-Algorithmus (K-Means) auf die Fenster-Statistiken angewendet, um verschiedene Netzwerkzustände ($S$) zu identifizieren.
   • Alignment: Die identifizierten Zustände werden den ursprünglichen TCP-Paketen zugeordnet, sodass jedes Paket einen Zustand besitzt.

4. Netzwerkverkehrs-Modellierung:

   • Event-Log-Extraktion: Die zustandsbasierten Daten werden in separate Event-Logs für jeden Zustand aufgeteilt. Ein „Event" wird als Kombination aus Richtung (Client-Server/Server-Client) und TCP-Flag definiert.
   • Prozess-Entdeckung: Für jeden Zustand wird ein Prozess-Entdeckungs-Algorithmus (Inductive Miner) angewendet, um ein Petri-Netz zu generieren. Diese Netze modellieren die erlaubten Kontrollflüsse und sind visuell interpretierbar.

3. Fallstudie und Experimente

Die Methode wurde im Rahmen der UPSIDE-Fallstudie evaluiert, bei der Netzwerkverkehr von mehreren IoT-Geräten während eines Gaming-Events aufgezeichnet wurde.

• Daten: Verkehr von 8 Geräten, die Clash Royale (CR), und 4 Geräten, die Rocket League (RL) spielten.
• Experiment 1 (Modellierung): Bewertung der Modellqualität mittels Fitness, Ähnlichkeit zwischen Geräten (Inter-Device Similarity) und Trennschärfe zwischen Zuständen (Inter-State Separation).
• Experiment 2 (Klassifikation): Ziel war die Unterscheidung zwischen den beiden Spielen basierend auf den generierten Petri-Netzen. Es wurde ein Fitness-Schwellenwert verwendet, um zu bestimmen, ob ein neuer Datenstrang zu einem bekannten Zustand (Spiel) passt oder als „unbekannt" klassifiziert wird.

4. Wichtige Ergebnisse

• Modellqualität: Die Methode konnte konsistente und interpretierbare Petri-Netze für verschiedene Geräte erstellen. Die Ähnlichkeit zwischen den Netzen verschiedener Geräte war hoch, während die Netze für unterschiedliche Spiele (CR vs. RL) sich deutlich unterschieden.
• Klassifikationsleistung:
  • Die beste Leistung wurde bei einer Fensterlänge (Window Length) von 3 Paketen und 3 Zuständen erzielt.
  • AUC (Area Under Curve): 88,30 % (deutlich besser als vergleichbare interpretierbare One-Class-Methoden wie Isolation Forest, HBOS, Z-Score oder COPOD).
  • Cosine Similarity: 58,14 % zwischen den Wahrscheinlichkeitsverteilungen der beiden Spiele, was eine gute Diskriminierungsfähigkeit zeigt.
• Einfluss der Parameter:
  • Zu große Fensterlängen führen zu „Underfitting" (zu allgemeine Modelle, die heterogene Verhaltensweisen vermischen) und verschlechtern die Klassifikation.
  • Eine zu geringe Anzahl an Zuständen führt zu oberflächlichen Verallgemeinerungen.
  • Ein ausgewogenes Verhältnis zwischen Fenstergröße und Zustandskomplexität ist entscheidend für die Interpretierbarkeit und Genauigkeit.
• Interpretierbarkeit: Die generierten Petri-Netze lieferten konkrete Einblicke. Beispielsweise zeigte das Netz für einen Zustand von Clash Royale ein charakteristisches Muster von vielen kleinen Paketen mit PSH-Flag (sofortiges Senden ohne Pufferung), gefolgt von Bestätigungen des Servers.

5. Bedeutung und Beitrag

• Neuartigkeit: Dies ist einer der ersten Ansätze, der Process Mining erfolgreich auf den komplexen, verrauschten Netzwerkverkehr von Videospielen anwendet, um sowohl Zustände zu charakterisieren als auch Spiele zu klassifizieren.
• Erklärbarkeit (Explainability): Im Gegensatz zu Deep-Learning-Modellen bieten die resultierenden Petri-Netze eine visuelle und logische Darstellung des Netzwerkverhaltens, was für Sicherheitsanalysten und Netzwerkadministratoren wertvoll ist.
• Praktische Relevanz: Die Methode ermöglicht die automatische Erkennung von Gaming-Traffic und potenziellen Anomalien ohne manuelle Definition von Regeln oder gelabelte Trainingsdaten.
• Zukunftsaussichten: Die Autoren planen, die Methode durch die Analyse überlappender Fenster und die Erweiterung auf andere IoT-Protokolle zu verfeinern, um die Generalisierungsfähigkeit weiter zu verbessern.

Fazit: Das Paper demonstriert, dass Process Mining ein leistungsfähiges Werkzeug ist, um den „Black-Box"-Charakter von Netzwerkverkehr in Videospielen zu durchdringen, interpretierbare Modelle zu erstellen und dabei eine hohe Klassifikationsgenauigkeit zu erreichen.