프로토콜 인식 교차 계층 압축을 통한 네트워크 트래픽 표현 최적화

초록

PACC는 네트워크 트래픽을 계층별 뷰로 바라보고, 각 계층의 정보를 압축하면서 공유‑특수 정보를 명시적으로 분리한다. 재구성 손실, 교차‑계층 상호 정보 대비 대비 손실, 그리고 지도 학습 손실을 동시에 최적화해, 암호화된 트래픽 분류·IoT 디바이스 식별·침입 탐지 등에서 기존 손‑설계 특징·원시 비트 인코딩을 능가하고, 대형 사전학습 모델과도 경쟁한다. 또한 압축된 잠재 표현으로 추론 속도를 3배 이상 가속한다.

상세 분석

PACC는 네트워크 트래픽을 “멀티뷰” 데이터로 정의하고, 각 프로토콜 계층(L2, L3, L4, L7)을 독립적인 입력 뷰로 취급한다. 기존 연구는 흐름 통계와 원시 비트 인코딩, 혹은 단일 시퀀스 형태의 사전학습 임베딩을 사용했지만, 계층 간 중복성을 명시적으로 다루지 못했다. 저자는 두 종류의 중복성을 구분한다. 첫째, 교차‑계층 중복은 동일 통신 이벤트가 여러 계층에 걸쳐 반복적으로 나타나는 현상으로, 이는 암호화된 트래픽에서도 일정 수준의 일관된 패턴(예: 핸드쉐이크 타이밍, 패킷 길이 분포)으로 존재한다. 둘째, 계층‑특수 중복은 헤더 필드의 고정값, 체크섬, 세션 카운터 등과 같이 특정 계층에만 존재하지만 학습에 크게 기여하지 않는 잡음이다.

PACC는 각 계층별 인코더 fΘi 를 통해 고차원 원시 입력 Xi 를 저차원 잠재 변수 Zi 로 매핑한다. 이후 공유‑전용 분해를 위해 두 개의 손실을 도입한다. ① **재구성 손실(Lrec)**은 각 Zi 가 원본 Xi 를 복원할 수 있도록 하여 계층‑특수 정보를 보존한다. ② **대조적 상호 정보 손실(Lcon)**은 서로 다른 계층 Zi, Zj 사이의 공통 정보를 최대화하면서, 동시에 불필요한 중복을 억제한다. 이는 InfoNCE와 유사한 대조 학습을 이용해 I(Xi;Xj) 를 높이고, I(Xi;Y|Xj) 와 같은 조건부 상호 정보를 보존한다. 마지막으로 **지도 손실(Lcls, Lgce)**을 통해 최종 분류 헤드 hΦ 가 과제‑관련 정보를 충분히 활용하도록 한다.

모델 아키텍처는 불확실성‑가중 어텐션을 사용해 각 Zi 의 중요도를 동적으로 조정한다. 이는 특정 계층이 손실이 큰 경우(예: 암호화된 L7이 거의 정보가 없을 때) 다른 계층에 더 큰 가중치를 부여해 전체 표현의 견고성을 유지한다.

실험에서는 세 가지 도메인(암호화된 애플리케이션 분류, IoT 디바이스 식별, 침입 탐지)과 다중 데이터셋을 사용했다. 암호화된 서브셋에서는 nPrint 대비 정확도가 최대 12.9 % 향상되었으며, 전체적으로는 기존 특성 기반 방법보다 5‑10 % 정도 높은 정확도를 기록했다. 또한 사전학습 기반 대형 모델(예: NetMamba)과 비교했을 때 비슷하거나 약간 앞서는 성능을 보였으며, 파라미터 수와 연산량이 크게 감소해 추론 속도가 3.16 배 가속되었다.

추가적으로, PACC는 각 계층별 공유‑전용 비율을 시각화함으로써 어느 계층이 주된 결정 요인인지 해석 가능성을 제공한다. 이는 네트워크 운영자가 부분적인 패킷 캡처(예: L2‑L4만 관측) 상황에서도 모델의 신뢰성을 평가하는 데 유용하다.

요약하면, PACC는 (1) 계층 구조를 보존한 멀티뷰 입력, (2) 공유‑전용 정보 분리를 통한 중복 제어, (3) 재구성·대조·지도 손실의 통합 최적화라는 세 가지 설계 원칙을 결합해, 고차원 원시 트래픽을 효율적이고 해석 가능한 저차원 표현으로 압축한다. 이는 암호화와 프로토콜 다양성이 증가하는 현대 네트워크 환경에서 실용적인 트래픽 분류 솔루션으로 자리매김한다.