Network Traffic Analysis with Process Mining: The UPSIDE Case Study

Cette étude propose une méthode d'extraction de processus appliquée au trafic réseau du jeu vidéo pour caractériser sans supervision les états du réseau via des réseaux de Petri interprétables et classifier avec précision les jeux, comme démontré par l'analyse des données du cas UPSIDE pour Clash Royale et Rocket League.

L'essentiel

Voici une explication simple et imagée de cette recherche, comme si nous discutions autour d'un café.

🎮 Le Grand Jeu : Analyser le trafic des jeux vidéo

Imaginez que les jeux vidéo en ligne (comme Clash Royale ou Rocket League) sont comme des villes immenses et très animées. Des millions de joueurs (les voitures) circulent en permanence sur les routes (le réseau internet) pour se rencontrer, se battre ou coopérer.

Le problème ? Ces routes sont souvent bouchées, et il est difficile de savoir exactement ce qui se passe à l'intérieur de chaque voiture. Est-ce qu'un joueur envoie un message d'attaque ? Est-ce qu'il y a un bug ? Ou est-ce qu'un pirate essaie de voler le trafic ?

Les chercheurs de cette étude (de Naples, en Italie) ont voulu créer une méthode intelligente pour comprendre ce trafic sans avoir besoin de lire chaque mot envoyé par les joueurs.

🔍 L'Idée Géniale : Le "Détective des Motifs"

Au lieu d'utiliser des boîtes noires complexes (comme l'intelligence artificielle classique qui donne des réponses sans expliquer pourquoi), les auteurs utilisent une technique appelée "Process Mining" (l'extraction de processus).

L'analogie du détective :
Imaginez que vous êtes un détective qui observe une foule dans une gare.

1. Le Chaos : Au début, tout le monde court dans tous les sens. C'est le "bruit" du réseau.
2. La Tri : Le détective ne regarde pas chaque personne individuellement, mais il observe les mouvements. "Ah, tous ceux qui vont vers le guichet A font la queue de la même façon."
3. Le Dessin : Il dessine ensuite un plan (une carte) qui montre exactement comment les gens se déplacent dans la gare.

Dans ce papier, les chercheurs font la même chose avec les données des jeux vidéo :

• Ils prennent le flot de données brutes (les paquets de données).
• Ils les découpent en petits morceaux (comme des fenêtres de temps).
• Ils utilisent des maths pour regrouper les comportements similaires (comme "envoyer une attaque" ou "recevoir une réponse").
• Ils transforment ces groupes en dessins clairs appelés "Réseaux de Petri" (des sortes de cartes de flux).

🧩 Le Cas UPSIDE : L'Expérience en Direct

Pour tester leur méthode, ils ont observé un vrai événement de jeu vidéo appelé UPSIDE.

• Les Joueurs : Certains jouaient à Clash Royale (un jeu de stratégie où l'on envoie des troupes), d'autres à Rocket League (du football avec des voitures).
• L'Observation : Ils ont branché leurs outils sur le réseau pour voir comment les données circulaient entre les joueurs et les serveurs.

Le résultat surprenant ?
Même sans dire aux ordinateurs "voici Clash Royale, voici Rocket League", la méthode a réussi à dire :

"Tiens, ce groupe de voitures suit un schéma très précis. Ça ressemble à s'y méprendre à du Clash Royale !"
"Et ce groupe-là ? Son schéma est différent, c'est sûrement du Rocket League."

C'est comme si vous pouviez reconnaître un joueur de football d'un joueur de basket juste en regardant la façon dont ils marchent dans un couloir, sans même voir le ballon ou le panier.

📊 Pourquoi c'est important ? (Les 3 points clés)

1. C'est lisible (Interprétable) : Contrairement aux autres méthodes qui donnent juste un "Oui/Non" sans explication, ici, on a un dessin (le réseau de Petri) qui montre exactement le comportement du jeu. On voit les étapes : "Le joueur envoie, le serveur répond, le joueur confirme". C'est transparent.
2. C'est précis : Ils ont réussi à distinguer les deux jeux avec une grande précision (environ 88% de réussite), ce qui est excellent pour détecter des anomalies ou des attaques.
3. L'équilibre est la clé : Les chercheurs ont découvert un secret :
   • Si on regarde des fenêtres de données trop grandes, on perd les détails (comme regarder une forêt de loin, on ne voit pas les arbres).
   • Si on regarde des fenêtres trop petites, on se perd dans le bruit.
   • Il faut trouver le juste milieu (ni trop gros, ni trop petit) pour que la "carte" soit à la fois simple et précise.

🏁 En résumé

Cette étude nous dit que pour comprendre le trafic complexe des jeux vidéo, on n'a pas besoin de tout décoder mot à mot. Il suffit de repérer les motifs de mouvement (les habitudes de circulation) et de les dessiner sous forme de cartes claires.

C'est une façon élégante de transformer le chaos numérique en une histoire lisible, permettant de mieux gérer les réseaux, de détecter les tricheurs et d'assurer que votre partie en ligne reste fluide ! 🚀

Résumé technique

Voici un résumé technique détaillé de l'article « Network Traffic Analysis with Process Mining: The UPSIDE Case Study », rédigé en français.

1. Problématique et Contexte

L'industrie du jeu vidéo en ligne génère des revenus considérables et implique des infrastructures réseau complexes. L'analyse du trafic généré par ces jeux est cruciale pour évaluer la consommation de bande passante, prédire les charges élevées et détecter des activités malveillantes.

Cependant, l'analyse de ce trafic présente des défis majeurs :

• Interprétabilité limitée : Les approches basées sur l'apprentissage profond (Deep Learning) sont souvent des « boîtes noires », manquant d'explicabilité.
• Complexité des données : Le trafic réseau est bruyant, entrelacé et capturé sans connaissance préalable des activités sous-jacentes, ce qui rend difficile l'identification d'« identifiants de cas » (case IDs) nécessaires aux algorithmes classiques.
• Risque de sous-ajustement (Underfitting) : La complexité du trafic peut conduire à des modèles trop génériques qui ne capturent pas les comportements spécifiques.

L'article propose de combler ce vide en appliquant le Process Mining (fouille de processus) au trafic de jeux vidéo, une application encore peu explorée dans la littérature, afin d'obtenir des modèles à la fois précis et interprétables.

2. Méthodologie Proposée

Les auteurs proposent une méthode non supervisée en quatre phases pour encoder le trafic de jeu en modèles comportementaux (réseaux de Petri).

Phase 1 : Surveillance du Trafic Réseau

Le système est modélisé comme un graphe biparti reliant des dispositifs (joueurs) à des serveurs de jeu. Les données brutes (fichiers PCAP) sont collectées via une surveillance non intrusive.

Phase 2 : Extraction de Caractéristiques (Feature Extraction)

• Analyse de protocole : Le trafic est filtré pour isoler un protocole spécifique (ex: TCP).
• Fenêtrage (Windowing) : Les paquets sont regroupés dans des fenêtres glissantes de longueur $W_L$.
• Statistiques : Pour chaque fenêtre, des caractéristiques synthétiques sont extraites (ex: nombre de drapeaux TCP spécifiques comme ACK, SYN, FIN, taille moyenne de la charge utile).

Phase 3 : Caractérisation des États (State Characterization)

• Clustering non supervisé : Une fonction de clustering (K-means) est appliquée aux statistiques des fenêtres pour identifier des états réseau distincts ($S$) sans étiquettes préalables.
• Alignement : Chaque fenêtre est associée à un état, puis cet état est répliqué pour chaque paquet individuel de la fenêtre, créant des données de protocole alignées par état.

Phase 4 : Modélisation du Trafic Réseau

• Extraction de journaux d'événements : Les données alignées sont divisées en traces (séquences d'événements) pour chaque état. Un événement est défini par la combinaison de la direction (client-serveur/serveur-client) et du drapeau TCP.
• Découverte de processus : Un algorithme de découverte (Inductive Miner) est appliqué à chaque journal d'événements pour générer un réseau de Petri interprétable pour chaque état.
• Classification : Pour classifier un nouveau trafic, on calcule le « fitness » (adéquation) d'une trace par rapport aux réseaux de Petri appris. Si le fitness dépasse un seuil, le trafic est classé comme appartenant à ce jeu ; sinon, il est marqué comme « inconnu ».

3. Étude de Cas : UPSIDE

La méthode a été validée sur l'étude de cas UPSIDE, impliquant des données de trafic collectées lors d'un événement de jeu avec deux titres distincts :

• Clash Royale (CR) : Un jeu de stratégie en temps réel.
• Rocket League (RL) : Un jeu d'action/voiture.

Les données proviennent de 12 dispositifs IoT connectés via des réseaux 5G locaux, transitant par un réseau MPLS vers des serveurs de jeu.

4. Résultats Expérimentaux

Les expériences ont évalué la capacité de modélisation et de classification en variant la longueur des fenêtres ($W_L$) et le nombre d'états ($n$).

Métriques d'Évaluation

• Fitness : Mesure de la cohérence entre le modèle et les données.
• Similarité inter-dispositif (sim) : Cohérence des modèles entre différents appareils jouant au même jeu.
• Séparation inter-état (sep) : Capacité du modèle à distinguer les états d'un même appareil de ceux d'autres appareils.
• Cosine Similarity (CosSim) : Mesure de la différence entre les distributions de probabilité des états pour CR et RL (une valeur plus basse indique une meilleure discrimination).
• AUC (Area Under Curve) : Performance de classification binaire (CR vs RL).

Résultats Clés

1. Optimisation des paramètres : La configuration optimale a été trouvée avec une longueur de fenêtre de 3 et 3 états.
   • Cette configuration a atteint un AUC de 88,30 %, surpassant nettement d'autres méthodes de classification à une classe interprétables (Isolation Forest, HBOS, Z-score, COPOD).
   • Le CosSim était de 58,14 %, indiquant une bonne distinction entre les deux jeux.
2. Impact de la complexité :
   • Des fenêtres trop longues ($W_L = 8$) entraînent un sous-ajustement (underfitting), réduisant la capacité de classification (AUC chute à ~52 %) car des comportements hétérogènes sont fusionnés.
   • Un espace d'états trop simple (2 états) conduit à des généralisations superficielles, tandis qu'un espace trop complexe fragmente les données.
3. Interprétabilité : Les réseaux de Petri générés sont explicables. Par exemple, pour Clash Royale, un état spécifique a été identifié comme correspondant à un « burst » de messages client-serveur avec le drapeau PSH (Push), caractéristique de l'envoi immédiat de petites paquets sans mise en tampon, suivi d'acquittements serveur.

5. Contributions et Signification

Contributions principales :

• Approche hybride : Combinaison réussie de l'analyse de données (clustering) et de la modélisation basée sur les processus (Process Mining) pour le trafic réseau.
• Modélisation non supervisée : Capacité à identifier des états comportementaux et à construire des modèles sans données étiquetées.
• Interprétabilité : Transformation de flux de paquets bruts en réseaux de Petri lisibles par l'humain, permettant de comprendre pourquoi un trafic est classé d'une certaine manière.
• Validation empirique : Démonstration sur un jeu de données réel et complexe (UPSIDE) avec des performances supérieures aux méthodes statistiques classiques.

Signification :
Ce travail démontre que le Process Mining est un outil viable et puissant pour l'analyse du trafic de jeux vidéo, offrant un compromis supérieur entre précision de classification et explicabilité par rapport aux méthodes d'apprentissage automatique traditionnelles. Il ouvre la voie à une surveillance réseau plus intelligente, capable de détecter des anomalies ou d'identifier des applications spécifiques tout en fournissant des insights sur le comportement protocolaire sous-jacent.