壹 前言
隨著通訊技術與網際網路應用的蓬勃發展,全球數據流量持續高速成長。然而,近年來超過九成以上的網路流量已經採用HTTPS/TLS(Transport Layer Security)加密傳輸 [1]。儘管加密通訊為用戶提供了隱私與安全保護,卻也造成電信網路維運面臨前所未有的可視性盲區。傳統的深度封包檢測(Deep Packet Inspection, DPI)雖能深入解析封包內容、提供精細的流量辨識與監控能力,然而在封包加密的時代,DPI難以讀取有效資訊,進而大幅降低其功效。
網路營運商因此無法再透過內容檢查直接了解網路上「誰在使用什麼應用,做什麼?」,導致網路維運在故障排除、資訊安全監控上都面臨挑戰。面對這樣的趨勢,電信業亟需發展新一代的智慧維運技術,以在不影響用戶隱私的前提下,重建網路可視性、提升風險偵測與管理效率。為此,本文將首先回顧傳統非加密環境下DPI技術之發展,進一步探討網路加密時代所帶來的可視性斷裂挑戰,並說明如何結合機器學習與信令分析克服這些困境,重新看見隱形於加密流量背後的網路服務與威脅,建構電信網路智慧維運的未來藍圖。
貳 科技發展現況
一、 從封包比對到深度檢測:網路可視性的提升
過去,網路管理者主要依賴封包標頭與IP/Port資訊實施流量控制,如傳統防火牆透過IP位址與連接埠規則過濾封包。然而,隨著應用多元化,單純檢查來源/目的IP與連接埠的方式難以辨識具體應用與內容。為解決此問題,DPI應運而生。此技術不僅查看L3/L4層的標頭資訊,更深入解析封包的L5至L7負載(Payload),例如HTTP網址、VoIP協議信令、郵件內容、檔案特徵等。透過DPI,網路維運人員得以精準掌握「誰在用哪種應用,傳輸何種內容」,大幅提升網路流量可視性以及控制能力,包括發現惡意連結、攔截特定資料洩露、管理應用頻寬等,其架構如圖1所示。
為了滿足巨量數據下即時深度分析的需求,DPI的實作方式也歷經運算載具的演進:早期多以CPU軟體處理為主,但當流量規模成長後發現軟體DPI效能有限,進而採用高效的網路介面卡,甚至引入專用硬體卡、FPGA(Field Programmable Gate Array)或SoC(System on a Chip)等SmartNIC技術 [2]。此外,針對複雜模式比對(Pattern Matching)與加密流量識別的運算瓶頸,產業界亦引入GPU(Graphics Processing Unit)進行大規模並行加速,利用其數千個核心同時處理成千上萬個封包特徵,以支撐AI驅動的流量分類需求 [3]。
在軟體層面,技術社群也開發了數據面加速框架,如DPDK(Data Plane Development Kit)及XDP(eXpress Data Path),分別透過繞過Linux核心網路堆疊或在驅動層執行eBPF(extended Berkeley Packet Filter)程式等方式,有效降低封包處理延遲並提高流量分析吞吐量 [4]。隨著網路設備不斷虛擬化與雲化,軟硬解耦已成趨勢,DPI引擎的佈署也可透過「軟體化」實現靈活彈性,同時結合硬體平行運算優勢以維持高效性能。透過上述技術的發展與應用,電信網路維運者得以在非加密流量時代,享有前所未有的流量洞察能力,為各種網路安全與管理服務提供強大的技術支撐。
二、 加密浪潮下的網路可視性斷裂與AI新對策
DPI在網路安全與流量管理中,確實扮演核心角色。然而,隨著TLS 1.3、QUIC(Quick UDP Internet Connections)及DoH(DNS over HTTPS)等加密協定的普及,全球網路已有逾90%的流量處於加密狀態,導致DPI難以透過封包內容比對進行偵測 [5]。在隱私規範與運算成本限制下,「資訊透明度驟降」成為維運單位的首要難題,傳統防線亟需轉型。
基於此,產業界與學術界提出了一系列加密流量智慧型分析(Encrypted Traffic Intelligence, ETI)的方法,其核心理念在於無需解密內容,改以指紋、流量與統計等特徵進行識別與分類。其中,TLS指紋(如JA3)藉由解析握手階段中「Client Hello, CH」訊息的加密套件與擴充參數,生成雜湊指紋,以識別特定程式或惡意活動 [6]。雖然JA3已廣泛應用,但隨著瀏覽器導入參數隨機化與新型傳輸協定,辨識能力面臨挑戰。進階的JA4遂提出,新增對應用層通訊協商(Application-Layer Protocol Negotiation, ALPN)等欄位的支援,能降低對欄位順序的敏感度 [7]。然而,隨著ECH(Encrypted CH)技術的導入,TLS 握手資訊將被全面加密,導致JA3/JA4無法提取特徵而面臨失效困境。
因此,基於統計特徵與人工智慧的偵測技術,成為後加密時代重建網路可視性的關鍵突破點,其整體概念示意如圖 2 所示。此一作法可在不解除加密外殼的前提下,透過分析封包的「傳輸節奏」與「握手特徵」,精準識破隱藏的惡意通訊 [8];或是將流量分類轉化為電腦視覺任務,利用卷積神經網路(CNN)提取封包負載映射後的空間分布特徵 [9][10];又或是引入自然語言處理(NLP)語義分析概念,將封包序列視為數位語言,利用輕量化模型捕捉流量間的深層語義關聯,在大幅降低運算成本的同時,維持高辨識精準度 [11]。此外,針對邊緣運算與即時監測需求,透過多視角觀測與結構優化,能以微秒級的速度精準識別加密流量,辨識效能更比傳統方式大幅提升六成,顯著強化了系統在巨量資料環境下的回應能力 [12]。
三、 打造隱私保護與決策透明的智慧網路新時代
隨著電信網路逐步導入AI提升維運效能,如何確保資料隱私與AI決策的透明可信成為關鍵課題。聯邦學習(Federated Learning)提供了一種有效的隱私保護方案:它允許分散於不同網路節點的裝置協同訓練AI模型,無需將原始數據上傳集中雲端 [13]。藉此,電信業者能在保護用戶隱私的前提下進行跨裝置數據協作。目前,聯邦學習已成功應用於智慧型手機鍵盤輸入建議等情境,既保障了敏感資訊安全,又不犧牲模型的學習成效,未來有望在電信網路AI維運場域發揮相同作用。
可解釋式人工智慧(eXplainable AI, XAI)則與決策透明度與可信度息息相關。電信網路屬於關鍵基礎設施,維運人員在採納AI提供的診斷建議時,需要瞭解這些建議背後的理由。XAI技術致力於揭示AI模型的內在推理機制:例如闡明模型做出結論所依據的關鍵特徵、內部決策規則,以及每項判斷的信心水準 [14][15]。通過在AI給出診斷結果的同時附上相關依據(如突出相關日誌片段、指出特定異常信號等),XAI能讓維運人員清晰理解AI判斷的依據,增進對AI輔助決策的信任。業界也日益重視這一點:國際網路故障診斷挑戰賽已將「模型解釋與推理」列為重要評估項目,凸顯了XAI在AI維運領域普及中的關鍵作用 [16]。
最後,則是生成式AI的導入。大型語言模型(LLM)具備理解複雜網路異常信息並生成洞察性文本的能力,使「AI智慧維運助理」的願景走向現實。透過AI自動分析信令與日誌,在維運場景中,工程人員可以以自然語言提出疑問,AI則即時給出診斷結果與解決步驟,大幅縮短障礙排除時間。以本院研發的「AI信令查測幫手」系統為例,該系統將LLM與現有網路訊務平台相結合,使平均故障修復時間大幅縮短,維運人員處理告警的工作負擔明顯減輕。這些成果表明,生成式AI與網路維運的深度融合正帶來顯著效益:在加速維運流程的同時,兼顧了資料的隱私安全和決策的透明可信,推動整個電信產業向更智慧高效的運營模式轉型。
參 結語
回顧網路維運技術的發展,可發現封包解讀方式正隨網路環境變遷而演進。雖然深度封包檢測在過去顯著提升了電信網路的可視性與安全掌控,但封包加密趨勢帶來的挑戰不容忽視。面對全流量加密「黑箱」的時代,本院積極投入加密流量智慧分析技術研發,以流量重組與信令特徵萃取為基礎,結合深度學習模型與生成式AI助理,探索突破網路可視性盲區的新途徑。這些創新將賦予維運人員前所未有的全局視野,在不侵犯用戶隱私的前提下,有效辨識應用與風險,實現更主動、更智慧的網路維運模式。未來,透過AI智慧維運系統的持續優化與國際標準互通,電信網路智慧維運勢將更上層樓。
肆 參考文獻
[1] J. Vijayan, "Nearly half of all malware is concealed in TLS-encrypted communications," Dark Reading, Jan. 21, 2021. [Online]. Available: https://www.darkreading.com/vulnerabilities-threats/nearly-half-of-all-malware-is-concealed-in-tls-encrypted-communications.
[2] NVIDIA, "NVIDIA Mellanox ConnectX SmartNICs: The foundation for the modern data center," NVIDIA, Santa Clara, CA, USA, Solution Brief, 2020. [Online]. Available: https://network.nvidia.com/files/doc-2020/sb-smart-nic.pdf.
[3] Atlantic.net, "Network Intrusion Detection System Using Machine Learning on Ubuntu 24.04 GPU Server," Atlantic.net Blog, 2024. [Online]. Available: https://www.atlantic.net/gpu-server-hosting/network-intrusion-detection-system-using-machine-learning-on-ubuntu-24-04-gpu-server/.
[4] IO Visor Project, "eXpress Data Path (XDP)," IO Visor Project, 2026. [Online]. Available: https://iovisor.org/technology/xdp.
[5] Google. "HTTPS encryption on the web," Google Transparency Report, 2024. [Online]. Available: https://transparencyreport.google.com/https/overview.
[6] J. Althouse, et al., "JA3: A method for profiling SSL/TLS clients," GitHub, 2017. [Online]. Available: https://github.com/salesforce/ja3.
[7] J. Althouse, et al., "JA4+ Network Fingerprinting," GitHub, 2023. [Online]. Available: https://github.com/FoxIO-LLC/ja4.
[8] Cisco, "Encrypted Traffic Analytics: Identify malware communications in encrypted traffic," Cisco, San Jose, CA, USA, White Paper, 2021. [Online]. Available: https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/eta-design-guide-2019oct.pdf.
[9] Q. Ma, et al., "Encrypted Traffic Classification Based on Traffic Reconstruction," 2021 4th International Conference on Artificial Intelligence and Big Data (ICAIBD), Chengdu, China, 2021, pp. 572-576, doi: 10.1109/ICAIBD51990.2021.9459072.
[10] S. Depuru, et al, "Vision Transformer for Detecting Encrypted Malicious Payloads in Packet Captures," 2025 7th International Conference on Innovative Data Communication Technologies and Application (ICIDCA), Coimbatore, India, 2025, pp. 1351-1356, doi: 10.1109/ICIDCA66325.2025.11280579.
[11] H. Li, et al., "Encrypted Traffic Classification Framework Based on Albert," IGARSS 2024 - 2024 IEEE International Geoscience and Remote Sensing Symposium, Athens, Greece, 2024, pp. 10019-10024, doi: 10.1109/IGARSS53475.2024.10641799.
[12] W. Xing, et al., "A Lightweight Encrypted Traffic Classification Method Based on Multi-scale Feature Fusion," GLOBECOM 2025 - 2025 IEEE Global Communications Conference, Taipei, Taiwan, 2025, pp. 6274-6279, doi: 10.1109/GLOBECOM59602.2025.11432530.
[13] R. Chen, et al., "Encrypted Traffic Classification Based on Federated Class Prototype Incremental Learning," 2025 IEEE 6th International Seminar on Artificial Intelligence, Networking and Information Technology (AINIT), Shenzhen, China, 2025, pp. 918-922, doi: 10.1109/AINIT65432.2025.11035458.
[14] X. Zhang and M. Hua, "Explainable Ai for Encrypted Traffic Detection: a Comprehensive Survey," 2025 IEEE 3rd International Conference on Computer, Vision and Intelligent Technology (ICCVIT), Baoding, China, 2025, pp. 1-5, doi: 10.1109/ICCVIT67848.2025.11391449.
[15] P. Loi, D. Canavese, L. Regano, D. Maiorca and G. Giacinto, "SHAP happens: an Explainable IDS for Industrial IoT Networks," 2025 IEEE 9th Forum on Research and Technologies for Society and Industry (RTSI), Tunis, Tunisia, 2025, pp. 71-76, doi: 10.1109/RTSI64020.2025.11212598.
[16] GSMA, ETSI, IEEE, ITU, and TM Forum, " AI Telco Troubleshooting Challenge," [Online]. Available: https://aiforgood.itu.int/ai-telco-troubleshooting-challenge/.