フローセマンティクスはどこに存在するのか？ 暗号化トラフィック分類のためのプロトコルネイティブな表形式事前学習パラダイム

要旨: 自己教師ありマスクモデリングは、生のバイトをマスクして再構成することで暗号化トラフィック分類に有望を示します。しかし、最近の研究では、コストの高い事前学習にもかかわらず、ラベル付きデータへの依存を減らせないことが明らかになっています。固定エンコーダ評価の下で、精度は0.9超から0.47未満へ低下します。根本原因は帰納的バイアスの不整合だと我々は主張します。トラフィックをバイト列に平坦化すると、プロトコル定義の意味論が破壊されます。我々は次の3つの具体的な問題を特定します。1) フィールドの予測不能性。ip.id のようなランダムなフィールドは学習不能でありながら再構成ターゲットとして扱われる。2) 埋め込みの混乱。意味的に異なるフィールドが統一埋め込み空間に崩れてしまう。3) キャプチャ時刻のメタデータの喪失。時系列分析に不可欠なメタデータが破棄されます。これに対処するため、プロトコル定義のフィールド意味論をアーキテクチャ的事前知識として扱い、データの本質的な表形式モダリティに沿うようタスクを再定義する、プロトコルネイティブなパラダイムを提案します。このパラダイムを具体化して、Flow Semantic Units（FSUs）上に構築された表形式のマスク付きオートエンコーダ FlowSem-MAE を導入します。FlowSem-MAE は、予測可能性に基づくフィルタリング（学習可能なFSUに焦点を当てる）、FSU固有の埋め込みによるフィールド境界の保持、パケット内および時系列パターンを捉える二軸アテンションを特徴とします。FlowSem-MAE はデータセット全体で最先端を大幅に上回ります。ラベル付きデータが半分しかない状態でも、従来の全データで学習した多くの手法を上回ります。