WiPal 효율적인 오프라인 IEEE 802.11 트레이스 병합 도구

본 논문은 무선 네트워크 측정 연구에서 필수적인 다중 스니퍼 트레이스 병합을 위한 새로운 도구, WiPal을 제안한다. 기존 병합 툴은 유선 인프라 의존, 전용 포맷 요구, 데이터베이스 백엔드 필요 등 사용상의 제약이 많았다. WiPal은 이러한 제약을 완전히 배제하고, 오프라인 환경에서도 PCAP 파일만으로 정확하고 빠른 병합을 수행하도록 설계되었다. 1. 설계 목표와 기본 가정 WiPal은 (1) 유선 연결이 없는 현장에서도 동작, (2) 사용자가 복잡한 설치 없이 명령줄 하나로 실행, (3) 모듈화된 구조로 각 단계(고유 프레임 추출, 교집합, 시계 정규화, 최종 병합)를 독립적으로 교체·확장 가능하도록 만든다. 입력은 표준 PCAP 형식이며, 출력 역시 PCAP 형태이므로 기존 분석 툴과 바로 연계할 수 있다. 2. 고유 프레임 추출 비콘 프레임과 비재전송 프로브 응답은 64비트 타임스탬프가 포함돼 고유성을 보장한다는 전제 하에, 전체 프레임을 메모리에 적재하지 않고 16바이트 해시값만 저장한다. 이 과정에서 전체 프레임 수가 수억 개에 달해도 메모리 사용량은 600 MB 이하로 제한된다. 해시 충돌은 실험에서 5건(전체 7.7 M 중)으로 매우 드물며, 충돌 감지를 위한 별도 필터링 로직이 포함된다. 3. 교집합 알고리즘 두 트레이스의 고유 프레임 집합을 교집합하는 핵심 알고리즘은 해시 테이블 기반이다. 첫 번째 트레이스의 모든 고유 프레임을 해시 테이블에 삽입하고, 두 번째 트레이스의 해시를 순차적으로 조회한다. 이 방식은 (i) 사전 동기화에 의존하지 않아 모듈성을 유지, (ii) 각 프레임을 한 번만 읽어 I/O 비용 최소화, (iii) 메모리 사용량을 고유 프레임 수에 비례하도록 제한한다는 장점이 있다. 또한, 첫 번째 트레이스에서 발생한 해시 충돌을 사전에 탐지·제거해 정확성을 높인다. 4. 시계 정규화(동기화) 레퍼런스 프레임을 기반으로 두 트레이스의 타임스탬프를 affine 변환 t₂ = a·t₁ + b 로 매핑한다. a와 b는 윈도우 기반 선형 회귀를 통해 추정한다. 윈도우 크기 w는 레퍼런스 프레임 개수에 따라 조정되며, 실험 결과 w=2(3프레임)일 때 평균 동기화 오차가 최소화된다. 동기화 오차는 레퍼런스 프레임이 공유되는 전체 프레임 집합 S에 대해 평균 |t₂ - t₁| 로 정의되며, w=2일 때 수십 마이크로초 수준으로 낮다. w=1(단순 보간)에서는 오차가 크게 증가하고, 일부 중복 프레임을 놓치는 현상이 관찰된다. 5. 최종 병합 알고리즘 동기화된 두 트레이스를 시간 순으로 병합한다. 각 단계에서 가장 이른 타임스탬프를 가진 프레임을 출력 버퍼에 기록하고, 동일 내용의 프레임이 10⁶ µs(1 ms) 이내에 연속 등장하면 중복으로 간주해 하나만 남긴다. 1 ms는 IEEE 802.11 프레임 간 최소 간격의 절반에 해당해, 실제 중복을 정확히 식별한다. 병합 과정은 스트림을 순차적으로 읽으며, 메모리 사용량을 최소화한다. 6. 구현 및 배포 WiPal은 약 10 kLOC의 C++ 코드로 구현됐으며, 현대 C++ 템플릿과 정적 다형성을 활용해 컴파일 타임 최적화를 달성했다. 바이너리 형태로 배포되며, http://wipal.lip6.fr 에서 다운로드 가능하다. 7. 실험 및 평가 CRAWDAD의 uw/sigcomm2004 데이터셋(총 364 M 프레임, 73 GB 입력)으로 성능을 검증했다. (a) 정확성: 레퍼런스 프레임 식별률, 동기화 오차, 중복 제거율 모두 기존 오픈소스 툴 Wit보다 우수했다. 특히 w>1 설정이 모든 중복 프레임을 포착했으며, w=1에서는 수천 건의 중복을 놓쳤다. (b) 효율성: WiPal은 동일 데이터셋을 병합하는 데 약 10배 빠른 실행 시간을 보였으며, 메모리 사용량은 575 MB 수준으로 충분히 관리 가능했다. (c) 확장성: 두 개 이상의 트레이스를 병합하려면 2‑by‑2 병합을 순차적으로 수행하면 되며, 모듈화된 설계 덕분에 각 단계별 알고리즘 교체가 용이하다. 8. 결론 WiPal은 무선 트레이스 병합에 필요한 ‘정확성’, ‘속도’, ‘사용 편의성’ 세 요소를 모두 만족하는 최초의 오프라인 도구이다. 유선 인프라 없이도 PCAP 파일만으로 작동하고, 해시 기반 교집합과 윈도우 회귀 기반 동기화로 기존 툴보다 10배 이상 빠른 성능을 제공한다. 이러한 특성은 대규모 무선 측정 캠페인, 학술 연구, 그리고 실무 현장에서 트레이스 병합을 손쉽게 수행하려는 모든 사용자에게 큰 가치를 제공한다.