一种基于链上数据和开源情报的恶意地址检测系统及方法

技术领域

本发明属于区块链技术领域，涉及一种基于链上数据和开源情报的恶意地址检测系统及方法。

背景技术

数字货币使用去中心化的区块链，来记录公开且不可更改的交易历史。大量交易性数据在区块链上生成，用于各种不同的、通常未公开的用途。很多人员都以数字货币等数字资产作为结算，因此调查公共区块链上的交易数据，还可以追踪区块链恶意注册的交易行为。但介于区块链的匿名性，建立账户/地址之间的关联关系依旧是链上数据分析的重点与难点。

为了更精准的挖掘出地址间的交易关系，我们需要获得足够的地址标签，通常使用的(地址)标定方法有：

1、从一些公开的数据源获取。比如，论坛中的DAPP项目介绍、机构分享的自有数据库、论文中涉及的标签数据集、交易所公开的地址账户等，但是越新的链标签越少；

2、从数字货币的最新资讯中收集。例如，跟进行业内的安全事件，同步案例中涉及的各类恶意地址标签，但这种方法获取到的地址标签比较有限；

3、使用网格表示学习、构建集成分类器、做图网络分析等机器学习模型及方法，从收集的恶意标签数据和历史交易记录中提取特征，构建与训练模型来标定未知地址。然而用这类方法标定出的地址可解释性不足，对使用者来说缺乏可信度。

因此，鉴于上述问题，因此本发明提出了一种基于链上数据和开源情报的恶意地址检测系统及方法。

发明内容

为了解决上述技术问题，本发明提供一种基于链上数据和开源情报的恶意地址检测系统及方法，通过采集模块、链上恶意注册发现模块、运算木马检测模块、等多个模块对恶意网址进行检测，进而解决上述背景技术中提到的问题。

为实现上述目的，本发明具体的技术方案如下：

一种基于链上数据和开源情报的恶意地址检测系统，其特征在于，包括：

采集模块，所述采集模块用于搭建节点，基于网站需求列表，从各个区块链上同步数据；

链上恶意注册发现模块，所述链上恶意注册发现模块是基于链上数据的恶意地址检测，主要是通过分析交易备注及智能合约，找出存在恶意内容的交易哈希和发起者钱包地址，为之添加恶意注册标签；

运算木马检测模块，所述运算木马检测模块针对网页端常见的运算木马关键字做黑名单过滤，或使用动态分析，通过计算机性能指标的变化，及网络流量特征来识别运算；

运算木马检测模块即是指检测运算过程中是否存在木马病毒，运算指利用计算机的cpu或者gpu进行运算。

安全事件追踪模块，所述安全事件追踪模块用于了解最新的区块链恶意注册等恶意行为，解析攻击手法，在人工干预下搭建模型来发现同类事件；

数据库模块，所述数据库模块用于存放采集模块、链上恶意注册发现模块、运算木马检测模块、安全事件追踪模块的计算结果。

优选的，所述链上恶意注册发现模块检测过程包括搭建含有合约的区块链平台类架构或数字货币类架构节点，以及对于来自含有合约的区块链平台类架构的数据，抽取出Input字段；对于来自数字货币的数据，则抽取出OP_RETURN字段。

优选的，所述Input字段是含有合约的区块链平台上的备注功能，不仅可以作为交易说明，记录一些额外信息，也可以写入让合约运行的特定函数，Input字段以0x开头表示这是一个十六进制数值，若为智能合约，则紧接着的8个字节就是函数标识符。

优选的，所述运算检测模块针对网页端存在的：miner、coin、coinhive等运算木马的常用关键字，来做黑名单过滤，识别制作、出租木马病毒的行为；并使用动态分析，通过提取内存和网络流量特征来识别恶意运算木马。

优选的，所述运算检测模块收集到的运算木马，对其源码做解析并寻找链上受益地址，为之添加恶意注册地址标签。

优选的，所述安全事件追踪模块用于同步区块链论坛中安全公司发布的“最新漏洞及黑客事件”，了解攻击手法与交易特征。

优选的，所述安全事件追踪模块还可由区块链社区维护的，支持全球用户举报恶意注册地址的站点中，同步最新的涉及勒索、欺诈等恶意注册行为的链上地址

一种基于链上数据和开源情报的恶意地址检测系统的检测方法，所述检测方法步骤如下：

S1：首先通过采集模块搭建节点，从各个区块链上同步数据，并将数据入库，并基于网站需求列表，采集网页及流量数据，收集最近区块链论坛中新分享的模型经验知识；

S2：通过链上恶意注册发现模块分析交易备注找出存在恶意内容的，为交易发起者钱包地址添加恶意注册标签。同时也需要解析智能合约并识别出恶意内容，为恶意合约添加标签；

S3：再通过运算木马检测模块，能够针对网页端常见的运算木马关键字做黑名单过滤，或通过算机性能指标的变化及网络流量特征来识别运算行为。

与现有技术相比，本发明具有如下有益效果：

1、本发明通过检测系统5个模块，分别是采集模块、链上恶意注册发现模块、运算木马检测模块、安全事件追踪模块、数据库模块，对区块链中的数据进行采集、追踪、标记等，实现了快速发现区块链上的恶意注册等恶意行为，然后提取特征并上报的效果。

附图说明

图1是本发明提供的系统示意图；

图2是本发明提供的链上恶意注册发现模块的实施流程图；

图3是本发明提供的运算木马检测模块的实施流程图；

图4是本发明提供的安全事件追踪模块的实施流程图；

图5是本发明提供的链上恶意注册发现流程实例图。

图6是本发明提供的运算木马检测流程实例图。

具体实施方式

下面结合附图和实施例对本发明的实施方式作进一步详细描述。以下实施例用于说明本发明，但不能用来限制本发明的范围。

实施例:

如图1所示，本发明提供一种基于链上数据和开源情报的恶意地址检测系统，检测系统由5个模块组成，分别是采集模块、链上恶意注册发现模块、运算木马检测模块、安全事件追踪模块、数据库模块。

基于链上数据和开源情报的恶意地址检测系统的检测方法具体步骤如下：

第一步：在采集模块中，首先需要搭建区块链节点，便于从各个链上同步数据，并按照预先设计好的字段(可以仿照各链上自有的数据表)，将数据入库。此外，还需要维护一份网站需求列表(例如：用于采集安全事件的论坛，或需要检索制作、出租木马病毒的网站列表)，便于按需爬取数据。同时，收集最近区块链论坛中新分享的模型经验知识(如：攻击手法、交易特征、恶意地址等)。

第二步：链上恶意注册发现模块是通过分析交易备注找出存在恶意内容的，为交易发起者钱包地址添加恶意注册标签。同时也需要解析智能合约并识别出恶意内容，为恶意合约添加标签。

如图2所示为链上恶意注册发现模块工作的流程图，需要分别对交易备注和智能合约做分析，如图5a即为一个通过OP_RETURN字段解析出的，用于C&C的域名实例；而如图5b为一个恶意合约实例。

链上恶意注册发现模块，工作步骤如下：

(1)搭建含有合约的区块链平台类架构或数字货币类架构节点，接入区块链网络来同步数据，并将数据入库；

(2)对于来自含有合约的区块链平台类架构的数据，抽取出Input字段。若该字段中存在合法的函数标识符，则作为智能合约处理，使用内含的函数签名来解码合约的input数据，再与先前积累的恶意智能合约特征词库做碰撞，从而识别出含有恶意内容的智能合约，为合约地址添加恶意合约标签；

对于(2)中所述方法，补充说明为：

2.1区块链平台类架构包括但不限于含有合约的区块链平台；

2.2Input字段是含有合约的区块链平台上的备注功能，不仅可以作为交易说明，记录一些额外信息，也可以写入让合约运行的特定函数；

2.3Input字段以0x开头表示这是一个十六进制数值，若为智能合约，则紧接着的8个字节就是函数标识符；

2.4函数标识符可用于确认格式，对号入座的调用脚本来解码数据。

(3)对于来自数字货币的数据，则抽取出OP_RETURN字段，尝试用已掌握的编码模型来解析数据，识别是否存在疑似C&C的域名或指令；

对于(3)中所述方法，其补充说明为：

3.1一个僵尸网络的生存周期包括：形成、C&C、攻击、后攻击四个阶段，在C&C通信阶段，僵尸主控机会通过各种方式与僵尸主机通信；

3.2对僵尸网络而言，在交易中插入C&C指令最直接的方法是：在OP_RETURN输出脚本函数中插入C&C数据；

3.3OP_RETURN是数字货币上的备注功能，可用于给用户提供转账备注，在一笔数字货币交易中，只有一个输出可以是OP_RETURN，能存储80字节的内容。我们可以使用已掌握的各类恶意命令的编码方式，来对内容做解析和匹配，识别是否存在疑似C&C的域名或指令。

第三步：通过运算木马检测模块，针对网页端常见的运算木马关键字做黑名单过滤，或通过算机性能指标的变化及网络流量特征(运算的stratum协议)来识别运算行为。

如图3公开了运算木马检测的大致流程，运算木马检测模块工作步骤如下：

(1)针对网页端存在的：miner、coin、coinhive等运算木马的常用关键字，来做黑名单过滤，识别制作、出租木马病毒行为；

对于(1)中所述方法，其补充说明为：

1.1攻击者在网页上恶意植入运算木马，只要访问者通过浏览器访问该站点，浏览器会即刻执行运算指令，无偿的为网页运算木马植入者提供算力，导致访问者CPU资源利用率突然提升；

1.2可以从已采集的运算木马的源码中，总结提炼出新的共性特征，扩充现有的制作、出租木马病毒行为词库。

(2)使用动态分析，通过提取内存和网络流量特征来识别恶意运算木马

2.1通过内存来判别恶意运算，是在接入运算木马后，通过记录计算机的性能指标变化来收集样本，后续用于训练分类器模型来自动化识别运算木马；

2.2通过网络流量判断运算，是基于stratum协议中，易于采集的矿池与矿机之间的通信过程来达成的。

2.3这两类方法的共性缺点是：对于机器性能开销远比上一种方法要大，因此更适用于非实时的场景。

(3)对于通过上述方法收集到的运算木马，对其源码做解析来寻找链上受益地址，并为之添加恶意注册地址标签。

第四步：如图4所示为安全事件追踪的流程图，通过学习由各类区块链安全社区发布的恶意行为，并解析攻击手法，在人工干预下搭建模型来发现同类事件(比如对于各类恶意注册等行为的追踪)。

在上述1-3步检测过程中，安全事件追踪模块能够及时同步区块链论坛中安全公司发布的“最新漏洞及黑客事件”，了解攻击手法与交易特征，以便基于链上数据搭建模型来发现同类事件，并将事件中涉及的恶意地址给予恶意注册标签；

同时可以从由区块链社区维护的，支持全球用户举报恶意注册地址的站点中，同步最新的涉及恶意注册等行为的链上地址。其中Bitcoinabuse就是一个具有代表性的，由社区维护共创的，受理来自各地的恶意注册地址举报，汇总信息后提供地址报告下载接口的数据库站点。

需要说明的是：其中数据库模块，主要用于存放采集模块、链上恶意注册发现模块、运算木马检测模块、安全事件追踪模块的计算结果，包括链上交易及智能合约数据、网页采集数据、及各模块中产出的带恶意注册标签的地址。

本发明的实施例是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。