Network Traffic Analysis with Process Mining: The UPSIDE Case Study

Este artigo propõe um método baseado em mineração de processos para analisar tráfego de rede de jogos, permitindo caracterizar estados de rede, codificá-los em redes de Petri interpretáveis e classificar o tráfego para identificar jogos específicos, como demonstrado no estudo de caso UPSIDE com Clash Royale e Rocket League.

O essencial

Imagine que você está em um grande estádio de futebol lotado. Milhares de pessoas estão gritando, cantando e jogando. Para um observador de fora, isso parece apenas um caos de barulho e movimento. Mas e se você tivesse um "super-olho" capaz de separar os gritos dos torcedores do time A dos gritos do time B, apenas analisando o padrão das ondas sonoras?

É exatamente isso que os autores deste artigo fizeram, mas em vez de um estádio de futebol, eles olharam para a internet de um evento de jogos online.

Aqui está a explicação do trabalho deles, traduzida para uma linguagem do dia a dia:

O Problema: O Caos na Internet

Quando jogamos jogos online (como Clash Royale ou Rocket League), nossos celulares e computadores enviam e recebem milhares de "cartas" (pacotes de dados) por segundo. Para a maioria dos sistemas de segurança, isso é apenas um ruído branco.

Os pesquisadores queriam saber: Será que conseguimos olhar para esse caos e dizer, sem precisar de inteligência artificial "caixa preta" (que não explica como funciona), qual jogo está sendo jogado e como ele se comporta?

A Solução: O Detetive de Padrões (Process Mining)

Os autores usaram uma técnica chamada Mineração de Processos. Pense nela como um detetive que não apenas olha para as evidências, mas tenta reconstruir a "história" ou o "roteiro" de como as coisas aconteceram.

Eles dividiram o trabalho em quatro etapas simples:

1. Escutar a Conversa (Monitoramento): Eles gravaram o tráfego da internet de vários dispositivos jogando durante um evento real chamado UPSIDE.
2. Organizar os Bilhetes (Extração de Recursos): Em vez de olhar para cada carta individualmente, eles agruparam as cartas em "pacotes" (janelas de tempo). Imagine pegar 5 segundos de conversa e analisar o que foi dito nesse bloco.
3. Achar os Grupos (Caracterização de Estados): Eles usaram um algoritmo para agrupar esses blocos de conversa em "estados".
   • Analogia: Imagine que você tem uma pilha de fotos de pessoas em uma festa. O algoritmo separa as fotos em grupos: "Grupo da Dança", "Grupo da Conversa no Bar" e "Grupo da Comida". No jogo, esses grupos são momentos de "envio de dados", "aguardando resposta" ou "atualização de mapa".
4. Desenhar o Mapa (Modelagem com Petri Nets): Aqui está a parte mágica. Para cada grupo (estado), eles criaram um mapa visual (uma Rede de Petri).
   • Metáfora: Pense em um mapa de metrô. As estações são os estados e as linhas são as ações. O mapa mostra exatamente como o jogo "viaja" de um estado para outro. O diferencial é que esse mapa é legível por humanos. Você pode olhar e entender: "Ah, quando o jogador ataca, o jogo vai para a estação 'Enviar Dados' e depois volta para 'Aguardar Resposta'".

O Que Eles Descobriram?

Eles testaram isso com dois jogos muito diferentes:

• Clash Royale: Um jogo de estratégia onde você envia tropas (muitos pequenos pacotes rápidos).
• Rocket League: Um jogo de carro e bola (focado em física e posições).

Os resultados foram incríveis:

1. Mapas Únicos: Cada jogo criou um "mapa de metrô" totalmente diferente. O mapa do Clash Royale parecia um sistema de trem frenético e rápido. O do Rocket League tinha um ritmo diferente.
2. Identificação Fácil: Com base nesses mapas, o sistema conseguiu dizer com 88% de precisão qual jogo estava sendo jogado, apenas olhando para o tráfego de rede, sem precisar ver a tela do jogo.
3. Explicável: Diferente de outras IAs que dizem "é o jogo X" sem explicar o porquê, aqui você pode olhar o mapa e ver por que o sistema decidiu aquilo.

Por que isso é importante?

Hoje, muitas ferramentas de segurança usam "caixas pretas" (Deep Learning). Elas funcionam bem, mas se algo der errado, ninguém sabe explicar o motivo.

Este trabalho mostra que podemos usar mapas visuais e lógicos para entender o comportamento da internet. Isso é como ter um manual de instruções transparente para a segurança da rede. Se um hacker tentar se passar por um jogador legítimo, ele provavelmente não seguirá o mesmo "mapa de metrô" (padrão de comportamento), e o sistema conseguirá detectar a anomalia de forma clara e explicável.

Em resumo: Os autores transformaram o ruído caótico da internet de jogos em mapas de metrô coloridos e compreensíveis, permitindo que computadores "leiam" o jogo que está sendo jogado apenas observando como os dados viajam.

Resumo técnico

Resumo Técnico: Análise de Tráfego de Rede com Mineração de Processos: O Caso UPSIDE

1. Problema e Motivação

O crescimento da indústria de jogos online gera volumes massivos de tráfego de rede, criando desafios para a gestão de largura de banda, previsão de cargas e detecção de atividades maliciosas. Embora técnicas de Deep Learning sejam comuns na análise de tráfego, elas frequentemente sofrem de baixa interpretabilidade (funcionam como "caixas pretas").

A Mineração de Processos (Process Mining) surge como uma alternativa promissora por combinar análises orientadas a dados com modelos baseados em processos (como Redes de Petri), oferecendo visões explicáveis. No entanto, a aplicação dessa técnica ao tráfego de jogos enfrenta três barreiras principais:

1. Natureza Ruidosa e Intercalada: Dificuldade em identificar "IDs de caso" (fluxos de rede distintos) em dados brutos.
2. Risco de Subajuste (Underfitting): Modelos complexos podem gerar generalizações superficiais que não capturam a especificidade do comportamento do jogo.
3. Falta de Dados Rotulados: A ausência de conhecimento prévio sobre as atividades que geraram o tráfego.

O artigo foca especificamente na lacuna de aplicação da mineração de processos para análise de tráfego de jogos de vídeo, um domínio pouco explorado na literatura.

2. Metodologia Proposta

Os autores propõem um método não supervisionado de quatro fases para transformar dados brutos de pacotes em modelos comportamentais interpretáveis (Redes de Petri):

• Fase 1: Monitoramento de Tráfego de Rede

  • Coleta de dados não intrusiva (arquivos PCAP) de dispositivos IoT conectados a servidores de jogos.
  • Modelagem do sistema como um grafo bipartido entre dispositivos e servidores.

• Fase 2: Extração de Características (Feature Extraction)

  • Parsing de Protocolo: Isolamento do tráfego TCP (exemplo utilizado).
  • Janelamento (Windowing): Aplicação de uma janela deslizante sobre os pacotes para extrair estatísticas sintéticas (ex: contagem de flags TCP como SYN, ACK, FIN; tamanho médio do payload; número de servidores).
  • O comprimento da janela ($W_L$) é um parâmetro crítico que define a granularidade da análise.

• Fase 3: Caracterização de Estados

  • Agrupamento (Clustering): Uso de algoritmos não supervisionados (K-means) sobre as estatísticas das janelas para identificar diferentes "estados" de rede ($S$).
  • Alinhamento: Associação de cada estado identificado de volta aos pacotes TCP originais, criando dados de protocolo orientados a estados.

• Fase 4: Modelagem de Tráfego de Rede

  • Extração de Logs de Eventos: Separação dos dados por estado e conversão de subsequências de pacotes em "trilhas" (traces), onde cada evento é definido pela combinação de direção e flag TCP.
  • Descoberta de Processos: Aplicação de algoritmos de mineração de processos (especificamente o Inductive Miner) para gerar Redes de Petri interpretáveis para cada estado.
  • Classificação: Uso das Redes de Petri geradas para classificar novos dados de tráfego, identificando qual jogo está sendo jogado com base na aderência (fitness) do tráfego ao modelo.

3. Estudo de Caso e Experimentos

O método foi aplicado ao Estudo de Caso UPSIDE, envolvendo dados de rede coletados durante um evento de jogos com dois títulos distintos:

• Clash Royale (CR): Jogo de estratégia em tempo real.
• Rocket League (RL): Jogo de ação/esportes.
• Dados: 12 dispositivos IoT (8 jogando CR, 4 jogando RL) conectados através de uma rede 5G local e MPLS.

Experimentos Realizados:

1. Modelagem e Interpretabilidade: Avaliação da capacidade do método em capturar modelos comportamentais coerentes entre dispositivos e distintos entre estados.

   • Métricas utilizadas: Fitness (adequação do modelo), Similaridade Inter-dispositivo (sim), Separação Inter-estado (sep) e Complexidade (arc degree).
   • Resultado: Redes de Petri coerentes foram geradas. Ajustes no comprimento da janela e no número de estados revelaram um compromisso (trade-off): janelas muito longas causam subajuste, enquanto muitos estados fragmentam o modelo.

2. Classificação de Tráfego: Avaliação da capacidade de distinguir entre CR e RL.

   • Estratégia: Treinamento em um dispositivo, validação em outros e teste nos dois jogos.
   • Métricas: Cosine Similarity (CosSim) entre distribuições de probabilidade de estados (quanto menor, melhor a distinção) e AUC (Área sob a Curva ROC) para detecção de anomalias/identificação de jogos.

4. Resultados Principais

• Desempenho de Classificação: A configuração ótima foi alcançada com comprimento de janela (WL) = 3 e 3 estados, resultando em:
  • AUC de 88,30%: Superior a outros métodos de classificação de uma classe interpretáveis (como Isolation Forest, HBOS, Z-score e COPOD), que variaram entre 50% e 78%.
  • CosSim de 58,14%: Indicando uma boa separação entre as distribuições de tráfego dos dois jogos.
• Interpretabilidade: O modelo conseguiu identificar padrões comportamentais específicos. Por exemplo, para o Clash Royale, a rede de Petri revelou um padrão de "rajada" (burst) de mensagens do cliente para o servidor com a flag PSH (Push), indicando envio imediato de dados sem buffering, seguido por confirmações do servidor.
• Impacto de Parâmetros:
  • Janelas muito longas degradam a classificação (devido ao subajuste).
  • Um espaço de estados balanceado melhora o desempenho independentemente do tamanho da janela.
  • Combinações de janelas longas e poucos estados reduzem a interpretabilidade das redes de Petri.

5. Contribuições e Significância

• Inovação Metodológica: Propõe um pipeline completo não supervisionado que transforma tráfego de rede ruidoso em modelos de processos formais (Redes de Petri) sem necessidade de dados rotulados.
• Aplicação em Jogos: Preenche uma lacuna na literatura ao aplicar mineração de processos especificamente a tráfego de jogos online, demonstrando que é possível modelar comportamentos complexos de forma explicável.
• Explicabilidade (XAI): Diferente de modelos de Deep Learning, o método fornece modelos visuais (Redes de Petri) que permitem aos analistas de rede entender como e por que o tráfego foi classificado, identificando padrões de protocolo específicos (como o uso de flags TCP).
• Validação Empírica: Demonstra que a técnica é competitiva em precisão com métodos de machine learning tradicionais, mas com a vantagem adicional de transparência, sendo útil para monitoramento de QoS (Qualidade de Serviço) e detecção de anomalias em eventos de jogos massivos.

Em conclusão, o artigo valida que a mineração de processos é uma ferramenta viável e eficaz para a análise de tráfego de jogos, oferecendo um equilíbrio entre precisão de classificação e interpretabilidade do modelo.