Network Traffic Analysis with Process Mining: The UPSIDE Case Study

이 논문은 온라인 게임 네트워크 트래픽을 프로세스 마이닝을 활용해 비감독적으로 상태 분석하고 해석 가능한 페트리 넷으로 인코딩하여 클래시 로얄과 로켓 리그와 같은 게임들을 분류하는 UPSIDE 사례 연구를 제시합니다.

핵심

이 논문은 **"온라인 게임의 네트워크 트래픽을 분석해서, 어떤 게임을 하고 있는지 알아내는 새로운 방법"**을 제안합니다.

기존에는 인공지능 (딥러닝) 을 많이 썼는데, 이건 마치 **"검은 상자 (Black Box)"**처럼 결과가 나오기만 할 뿐, 왜 그렇게 판단했는지 사람이 이해하기 어려웠습니다. 이 연구는 **"프로세스 마이닝 (Process Mining)"**이라는 기술을 써서, 마치 "게임의 행동을 지도로 그려서 누구나 볼 수 있게 만든" 방법을 개발했습니다.

이 내용을 일상적인 비유로 쉽게 설명해 드릴게요.

---

🎮 1. 문제 상황: 혼잡한 고속도로와 블랙박스

온라인 게임 (클래시 로얄, 로켓 리그 등) 을 할 때, 우리 기기에서 게임 서버로 수많은 데이터가 오갑니다. 이는 마치 복잡한 고속도로처럼 수많은 차 (데이터 패킷) 가 지나다닙니다.

• 기존 방식 (딥러닝): "저 차들이 지나가는 패턴을 보면, 아마도 A 게임을 하고 있겠지!"라고 말해줍니다. 하지만 **"왜 A 게임이라고 생각했는지?"**에 대한 설명은 못 해줍니다. 마치 운전을 잘하는 AI 가 "저기서 오른쪽으로 돌아"라고만 하고, 그 이유를 설명하지 않는 것과 같습니다.
• 이 연구의 목표: "이 차들이 어떻게 움직이는지, 어떤 규칙을 따르는지 사람이 이해할 수 있는 지도를 그려서, 그 지도를 보고 A 게임인지 B 게임인지 명확히 구분하고 설명해 주는 것"입니다.

🔍 2. 해결책: 프로세스 마이닝 (행동 지도 그리기)

연구진은 게임 데이터를 분석할 때 네 단계를 거칩니다.

① 감시 카메라 설치 (네트워크 모니터링)

게임 중인 사람들의 기기에서 들어오고 나가는 데이터 (패킷) 를 모두 기록합니다. 하지만 이 데이터는 너무 많고 지저분해서 그 자체로는 쓸모가 없습니다.

② 조각 내기 (특징 추출 & 윈도우링)

이 거대한 데이터 덩어리를 **작은 조각 (윈도우)**으로 잘라냅니다.

• 비유: 긴 영화 필름을 10 초짜리 짧은 클립으로 자르는 것과 같습니다. 각 클립마다 "누가, 무엇을, 얼마나 보냈는지"를 기록합니다.

③ 행동 패턴 분류 (상태 특성화)

잘라낸 조각들을 보면, 게임 상황마다 데이터 흐름이 다릅니다.

• 비유: 게임에서 "전투 중일 때", "메뉴를 볼 때", "채팅할 때"의 데이터 흐름은 다릅니다. 연구진은 **클러스터링 (군집화)**이라는 기술을 써서, 비슷한 패턴끼리 묶어서 **"상태 1, 상태 2, 상태 3..."**으로 분류했습니다.
  • 예: "상태 1 = 공격을 할 때의 데이터", "상태 2 = 상대방이 공격할 때의 데이터"

④ 지도 만들기 (네트워크 트래픽 모델링)

이제 각 상태별로 데이터가 어떻게 흐르는지 **Petri Net (페트리 넷)**이라는 그림으로 그립니다.

• 비유: 각 상태마다 **"행동 지도"**를 그리는 것입니다.
  • "A 게임은 보통 '공격 → 확인 → 수비' 순서로 흐른다."
  • "B 게임은 '수비 → 반격 → 공격' 순서로 흐른다."
  • 이 지도는 사람이 눈으로 봐도 이해할 수 있는 형태로 그려집니다.

🧪 3. 실험 결과: 두 게임 구하기

연구진은 실제 **'UPSIDE'**라는 게임 행사에서 데이터를 가져와 실험했습니다.

• 게임 A: 클래시 로얄 (전략 게임, 작은 패킷을 자주 보냄)
• 게임 B: 로켓 리그 (액션 게임, 데이터 흐름이 다름)

결과:

1. 지도의 정확성: 각 게임마다 그려진 '행동 지도 (Petri Net)'가 서로 확실히 달랐습니다. 마치 클래시 로얄의 지도는 '작은 섬'처럼 복잡하고, 로켓 리그의 지도는 '넓은 평야'처럼 단순했다는 식으로 구분되었습니다.
2. 게임 구별하기: 이 지도들을 이용해 새로운 데이터가 들어오면, "이건 A 게임의 지도와 비슷하니 A 게임이야!"라고 88% 이상의 정확도로 맞췄습니다.
3. 해석 가능성: 단순히 "A 게임이다"라고만 말하는 게 아니라, **"왜? 왜냐하면 이 게임은 '공격' 버튼을 누를 때마다 데이터가 이렇게 튀어 오르기 때문이다"**라고 설명할 수 있었습니다.

💡 4. 핵심 교훈 (창의적인 비유)

이 연구는 **"데이터의 양을 늘리는 것보다, 데이터의 흐름을 어떻게 정리하느냐가 중요하다"**는 것을 보여줍니다.

• 너무 긴 창 (Window Length): 너무 긴 시간의 데이터를 한 번에 보면, 모든 게 뒤섞여서 **"무슨 게임인지 구별하기 힘든 거대한 소음"**이 됩니다. (비유: 1 시간짜리 영화를 한 프레임으로 보면 아무것도 안 보임)
• 너무 단순한 상태: 상태를 너무 적게 나누면, **"모든 게임이 비슷해 보이는 평범한 지도"**가 됩니다.
• 적당한 균형: 연구진은 **"적당한 크기의 조각 (윈도우)"**과 **"적당한 수의 상태"**를 찾았을 때 가장 잘 작동한다는 것을 발견했습니다.

🏁 결론

이 논문은 **"복잡한 게임 데이터를 사람이 이해할 수 있는 '행동 지도'로 변환하여, 어떤 게임을 하고 있는지 정확하게 찾아내고 그 이유도 설명해 주는 방법"**을 제시했습니다.

이는 단순히 게임을 감시하는 것을 넘어, 네트워크 관리자가 "왜 이 게임이 네트워크를 느리게 만드는지?"를 눈으로 확인하고 해결할 수 있게 해주는 매우 유용한 도구입니다. 마치 블랙박스 대신, 운전자가 직접 볼 수 있는 내비게이션 지도를 만들어준 것과 같습니다.

기술 요약

논문 개요: 프로세스 마이닝을 활용한 네트워크 트래픽 분석 (UPSIDE 사례 연구)

이 논문은 온라인 게임 환경에서 생성되는 복잡한 네트워크 트래픽을 분석하기 위해 프로세스 마이닝 (Process Mining) 기술을 적용한 새로운 방법론을 제안합니다. 기존 딥러닝 기반 접근법의 '블랙박스' 한계를 극복하고, 트래픽 패턴을 해석 가능한 모델 (Petri Net) 로 변환하여 게임 식별 및 이상 탐지를 수행하는 것을 목표로 합니다.

1. 문제 정의 (Problem)

• 게임 트래픽의 복잡성: 온라인 게임은 대량의 데이터를 생성하며, 패킷 수준에서의 트래픽은 노이즈가 많고 교차되어 (interleaved) 있어 의미 있는 사건 (event) 을 식별하기 어렵습니다.
• 기존 기법의 한계: 딥러닝 기반 트래픽 분석은 높은 정확도를 보일 수 있으나, 모델의 의사결정 과정을 설명할 수 있는 **해석 가능성 (Interpretability)**이 부족합니다.
• 프로세스 마이닝의 적용 난제: 네트워크 트래픽은 사전 정의된 '케이스 ID (Case ID, 예: 개별 세션)'가 명확하지 않고, 데이터의 노이즈로 인해 프로세스 마이닝 알고리즘이 단순화된 (underfitting) 모델을 생성하거나 실패할 수 있습니다.
• 연구 공백: 기존 프로세스 마이닝 연구는 주로 MQTT, OPC UA 같은 IoT 프로토콜에 집중되었으며, 비디오 게임 트래픽 분석에 대한 적용 사례는 부족했습니다.

2. 제안된 방법론 (Methodology)

저자들은 게임 네트워크 트래픽을 행동 모델로 인코딩하는 4 단계의 비지도 학습 (Unsupervised) 프레임워크를 제안합니다 (그림 1 참조).

1. 네트워크 트래픽 모니터링 (Network Traffic Monitoring):
   • 게임 서버와 사용자 장치 (Device) 간의 이분 그래프를 가정하고, 비침습적 방식으로 패킷 데이터를 수집합니다 (PCAP 파일).
2. 특징 추출 (Feature Extraction):
   • 프로토콜 파싱: TCP 프로토콜을 중심으로 패킷을 필터링합니다.
   • 윈도잉 (Windowing): 슬라이딩 윈도우를 적용하여 패킷 스트림을 구조화된 시퀀스로 변환합니다. 윈도우 내의 TCP 플래그 (SYN, ACK, PSH 등) 개수, 페이로드 크기 평균 등의 통계적 특징을 추출합니다.
3. 상태 특성화 (State Characterization):
   • 클러스터링: 레이블이 없는 데이터에 대해 K-means 와 같은 비지도 클러스터링을 적용하여 네트워크 트래픽의 서로 다른 **상태 (States)**를 식별합니다.
   • 정렬 (Alignment): 추출된 윈도우 상태 정보를 원래 패킷 데이터에 매핑하여, 각 패킷이 속한 상태를 부여합니다.
4. 네트워크 트래픽 모델링 (Network Traffic Modeling):
   • 이벤트 로그 추출: 각 상태별로 패킷 시퀀스를 분리하여 이벤트 로그를 생성합니다. 이벤트는 패킷의 방향 (Client-to-Server 등) 과 TCP 플래그의 조합으로 정의됩니다.
   • 프로세스 발견 (Process Discovery): 인덕티브 마이너 (Inductive Miner) 알고리즘을 사용하여 각 상태의 이벤트 로그로부터 Petri Net을 생성합니다. 이를 통해 트래픽 흐름을 시각적이고 해석 가능한 모델로 표현합니다.

3. 주요 기여 (Key Contributions)

• 비지도 상태 식별: 레이블이 없는 게임 트래픽 데이터에서 다양한 네트워크 상태를 자동으로 식별하는 방법론 제시.
• 해석 가능한 모델링: 복잡한 네트워크 트래픽을 Petri Net으로 변환하여, 트래픽 흐름의 제어 구조를 인간이 이해할 수 있게 표현.
• 복잡도 조절: 노이즈가 많은 네트워크 데이터의 특성을 고려하여 윈도우 길이와 상태 수 (State Space) 를 조절함으로써 과적합 (Overfitting) 과 과소적합 (Underfitting) 사이의 균형을 찾음.
• 게임 식별 분류: 생성된 모델들을 기반으로 트래픽을 분류하여 어떤 게임이 실행 중인지 식별하는 성능 입증.

4. 실험 및 결과 (Evaluation & Results)

UPSIDE 프로젝트의 사례 연구를 통해 제안된 방법론을 검증했습니다.

• 데이터셋: Clash Royale (전략 게임) 과 Rocket League (액션 게임) 를 플레이하는 12 개의 IoT 장치에서 수집된 트래픽.
• 실험 1: 모델링 및 해석 가능성 평가
  • 지표: 적합도 (Fitness), 장치 간 유사성 (Similarity), 상태 간 분리도 (Separation), 복잡도 (Complexity).
  • 결과: 윈도우 길이 (Window Length) 가 너무 길면 다양한 행동을 하나의 모델로 묶어 과소적합이 발생하며, 상태 수가 너무 적으면 일반화가 너무 심해집니다.
  • 최적 설정: 윈도우 길이 3, 상태 수 3 일 때 가장 균형 잡힌 성능을 보였습니다.
• 실험 2: 분류 성능 평가
  • 방법: 학습 장치 (Clash Royale) 로 생성된 Petri Net 모델을 사용하여 테스트 데이터 (Clash Royale 및 Rocket League) 를 분류.
  • 성능 지표:
    • Cosine Similarity: 두 게임의 상태 분포 유사도. (낮을수록 구분 용이)
    • AUC (Area Under Curve): 분류기의 성능.
  • 결과: 최적 설정 (WL=3, States=3) 에서 **AUC 88.30%**를 기록했습니다. 이는 Isolation Forest, HBOS 등 다른 해석 가능한 1-클래스 분류기들보다 우수한 성능입니다.
  • 해석성: 생성된 Petri Net 을 분석한 결과, Clash Royale 의 경우 클라이언트가 서버로 PSH 플래그가 포함된 작은 패킷을 연속적으로 전송하는 특징적인 패턴이 자동으로 추출됨을 확인했습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 해석 가능한 AI: 게임 트래픽 분석에 있어 딥러닝의 블랙박스 문제를 해결하고, 프로세스 마이닝을 통해 "왜" 특정 트래픽이 특정 게임으로 분류되었는지 설명 가능한 모델을 제공했습니다.
• 실용적 적용: 대용량 동시 접속이 발생하는 실제 게임 이벤트 환경에서 효과적으로 작동함을 입증했습니다.
• 향후 과제: 상태 간 행동의 중복을 줄이고, 최적의 Petri Net 선택을 위한 휴리스틱을 개발하며, 다른 IoT 프로토콜 및 중첩 윈도우 (Overlapping Windows) 분석으로 일반화 능력을 강화할 필요가 있습니다.

핵심 요약: 이 연구는 프로세스 마이닝을 활용하여 복잡한 게임 네트워크 트래픽을 해석 가능한 Petri Net 모델로 변환하고, 이를 통해 88.30% 의 정확도로 게임을 식별할 수 있음을 보여주었습니다. 이는 네트워크 트래픽 분석 분야에서 설명 가능한 AI (XAI) 의 중요성을 강조하는 중요한 사례입니다.