CN114862588A - 一种面向区块链交易行为的异常检测方法 - Google Patents
一种面向区块链交易行为的异常检测方法 Download PDFInfo
- Publication number
- CN114862588A CN114862588A CN202210661014.2A CN202210661014A CN114862588A CN 114862588 A CN114862588 A CN 114862588A CN 202210661014 A CN202210661014 A CN 202210661014A CN 114862588 A CN114862588 A CN 114862588A
- Authority
- CN
- China
- Prior art keywords
- transaction
- network
- time
- node
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提出一种面向区块链交易行为的异常检测方法,获取区块链中以太坊交易记录数据,包括交易双方地址、交易金额、交易时间,将交易地址进行正常地址和异常地址的区分,并将获取的数据划分为训练集和测试集;将获取的交易记录构造成交易网络图,并把交易网络图转化成邻接矩阵;使用基于时间加权多通道游走的交易网络嵌入模型,将邻接矩阵作为输入,从中提取出特征序列向量;将得到的特征序列向量作为输入,对应的对交易地址的区分结果作为输出,对CNN分类器进行训练以得到检测模型;利用得到的检测模型对区块链交易中的异常交易进行检测。
Description
技术领域
本发明属于网络安全技术领域,尤其是涉及一种面向区块链交易行为的异常检测方法。
背景技术
网络嵌入是一种学习范式,它将节点、链接或整个(子)图嵌入到低维网络中。与传统的特征工程方法相比,网络嵌入是从大规模网络数据中提取特征的一种更高效、更自动化的方法,机器学习方法的性能在很大程度上取决于数据表示(或特征)的选择。目前区块链技术由于其去中心化、开放性、独立性、安全性、匿名性等特征,广泛应用于金融、物联网、公共服务、数字版权等领域。以区块链技术为基础的交易行为成为研究的热点,特别是对交易中异常行为的检查至关重要,是交易安全进行的保证。
目前检测结构方法多是针对于一种异常攻击检测,比如仅针对于双花攻击检测、钓鱼者检测等。在现有技术中,针对一般性网络交易的检测,如基于SVM 和相似性指数的轻量级URL钓鱼检测系统,仅能检测基于网站的钓鱼,检测准确率低,无法直接用于区块链的钓鱼检测问题。
发明内容
针对上述问题,本发明提出一种面向区块链交易行为的异常检测方法,包括:
步骤1、建立整体交易网络:获取区块链中以太坊交易记录数据,交易记录包括交易双方地址、交易金额、交易时间,将交易地址进行正常地址和异常地址的区分,并将获取的数据划分为训练集和测试集;将获取的交易记录构造成交易网络图,并把交易网络图转化成邻接矩阵;
步骤2、特征提取:使用基于时间加权多通道游走的交易网络嵌入模型,将邻接矩阵作为输入,从中提取出特征序列向量;
步骤3、检测模型训练:将步骤2得到的特征序列向量作为输入,步骤1中对应的对交易地址的区分结果作为输出,对CNN分类器进行训练以得到检测模型;
步骤4、异常交易检测:利用步骤3得到的检测模型对区块链交易中的异常交易进行检测,检测模型输入为步骤2得到的特征序列向量,输出为异常交易。
进一步,步骤1中的交易网络图记作G=(V,E,A,T),其中V代表交易双方的地址,E代表交易双方形成的有向边,A代表双方的交易金额,T代表交易时间;所述交易网络图某两个节点的多次交易并不会被合并到一次交易,有向边的序号是依据交易时间T顺序确定的,时间越早,其顺序越靠前。
进一步,邻接矩阵包括代表交易地址之间是否存在交易的交易邻接矩阵,存在交易的交易双方的交易金额邻接矩阵,存在交易的交易双方的时间邻接矩阵;交易地址之间如果存在交易,则交易邻接矩阵表示为1,不存在交易表示为 0;若交易双方存在交易,则交易金额邻接矩阵的值为对应的交易金额,时间邻接矩阵的值对应交易的时间戳的值。
进一步,基于时间加权多通道游走的交易网络嵌入模型包括随机游走生成器和网络嵌入的特征学习过程;随机游走生成器通过执行截断随机游动,将大规模网络转换为从中采样的一组节点序列,用于捕获节点之间的结构关系;特征学习过程中,使用Skip-gram算法对节点序列嵌入向量表示。
进一步,基于时间加权多通道游走的交易网络嵌入模型中,估计在迄今为止给定的随机游走中访问过的所有顶点的情况下,观察到顶点vi的可能性为:
Pr(vi|(v1,v2,...,vi-1))
进一步,以太坊交易地址节点的邻域采样策略是,随机游走生成器针对交易网络图G,随机对一个随机游走路径的顶点vi∈V进行均匀采样,直到达到最大长度或最大层数l;对于交易金额和时间戳采取有偏随机游走策略,在基于交易金额的有偏抽样中,交易价值越大,两个相关节点之间的关系越强或更密切;在基于时间的有偏采样中,交易时间越晚,对节点关系的影响越大。
进一步,在采样策略中,使用基于广度优先遍历和深度优先遍历的时间加权随机游走算法分别搜索当前节点的邻域节点来提取节点的局部特征和全局特征;在深度游走路径生成器中,利用深度优先遍历图的思想,通过各边的转移概率随机深度游走获得n个以vi∈V为顶点的固定长度为l的随机深度游走路径在广度游走路径生成器中,利用广度优先遍历图的思想,通过各边的转移概率随机广度游走获得顶点vi∈V的固定长度和固定层次都为为l的随机广度游走路径
进一步,CNN包含两个卷积块,每个卷积块由卷积层、最大池化层以及完全连接层组成。
进一步,两个卷积块中的卷积层分别设置为3*3*32和3*3*64,所述最大池化层设置为2*2,步长为2,所述完全连接层的输出大小为64*1。
本发明的有益效果:使用网络嵌入的方法可以有效的提取出网络拓扑图中的结构特征以及属性特征,可以有效的检测出区块链中异常地址,从而进一步判断出区块链中的异常交易。
附图说明
图1是本发明方法的流程图。
具体实施方式
下面结合附图,对实施例作详细说明。
图1示出了本发明的一种面向区块链交易行为的异常检测方法的流程图,主要包括:
步骤1、建立整体交易网络:获取区块链中以太坊交易数据,包括若干条交易记录和交易记录中交易地址的异常地址,将获取的交易记录构造成交易网络图,并把交易网络图转化成邻接矩阵。
步骤1.1:数据获取。通常情况下,从区块链交易官网中获取的交易记录的属性值有多列,本发明仅抽取所需要的四列,交易双方地址(包括交易发起方和交易接收方)、交易金额、交易时间。将获取到的交易地址进行正常地址和异常地址的区分,以便于后续模型的训练,进而进行正常交易和异常交易的判定。判断的原则是,异常地址与其相关的交易为异常交易,最终异常地址进行的交易为异常交易。获取的数据分为训练集和测试集。
步骤1.2:构建交易网络图。将获取到的交易记录数据集进行交易网络图的构建,将构造的交易网络图记作G=(V,E,A,T),其中V代表交易双方的地址,E 代表交易双方形成的有向边,A代表双方的交易金额,T代表交易时间。
本发明中构造的交易网络图有两个突出的特点,即保留交易的多重性和依照时间属性进行排序。交易网络图保留交易的多重性,是指某两个节点的多次交易并不会被合并到一次交易,在构建的交易网络图中也有体现。依照时间属性进行排序,是指交易网络图有向边的序号是依据交易时间T顺序确定的,时间越早,其顺序越靠前。
步骤1.3:生成邻接矩阵。交易网络图为数据处理的中间产物,最终目的是生成邻接矩阵以作为后面步骤2的输入。生成的邻接矩阵有三个,分别是:代表交易地址之间是否存在交易的交易邻接矩阵,存在交易的交易双方的交易金额邻接矩阵,存在交易的交易双方的时间邻接矩阵。
交易地址之间如果存在交易,则交易邻接矩阵表示为1,不存在交易表示为 0,并且构造的是交易有向图,所以生成的矩阵是一个非对称邻接矩阵。若交易双方存在交易,则金额邻接矩阵的值为对应的交易金额。交易双方时间邻接矩阵的值对应交易的时间戳的值。
步骤2:特征提取。本发明中使用基于时间加权多通道游走的交易网络嵌入模型,将交易网络图G=(V,E,A,T)生成的邻接矩阵作为输入,从中提取出特征序列向量。它主要包括随机游走生成器和网络嵌入的特征学习过程两部分。该模型的核心是将用于模拟自然语言的技术重新用于模拟网络中的拓扑结构。
在该模型中,随机游走生成器通过执行截断随机游动,将大规模网络转换为从中采样的一组节点序列,用于捕获节点之间的结构关系。特征学习过程中,使用Skip-gram算法对节点序列嵌入向量表示。
在该模型中,利用了一种语言建模的泛化方法,通过一系列短随机游走来探索图。这些游走可以被认为是一种特殊语言中的短句和短语;直接的类比是估计在迄今为止给定的随机游走中访问过的所有顶点的情况下,观察到顶点vi的可能性:
Pr(vi|(v1,v2,...,vi-1))
目标是学习潜在表示,而不仅仅是节点共现的概率分布。因此,本发明中将网络中的特征学习描述为一个最大似然优化问题。
由于文本的线性性质,邻域的概念可以通过在连续单词上使用滑动窗口自然定义。然而,网络拓扑结构不是线性的,因此需要更丰富的邻域概念。为了解决这个问题,本发明提出了一种随机过程,对给定节点vi∈V的多个不同邻域进行采样。邻域不仅限于直接邻域,而且可以根据不同的采样策略S 可以得到节点的不同结构特征,具体来说,通过广度优先游走策略可以得到节点的同构性特征,通过深度优先游走策略可以得到节点的同源性特征。
以太坊交易地址节点的邻域采样策略。
对于以太坊(Ethereum)这样的金融交易网络,每条边都有特定的交易金额和时间戳,这非常关键,但无法通过基于随机游走的一般网络嵌入方法捕获。为了更全面地了解交易网络的特征,本发明设计了基于交易金额和时间戳的有偏随机游走策略。
首先,定义时间连续边集Lt(vi)={e|src(e)=vi,T(e)≥t}。
在基于交易金额的偏差抽样中,一般地,交易的价值越大,意味着两个相关节点之间的关系越强或更密切。A(cj-1,cj)表示节点cj-1和节点cj之间的同向交易总和,使用线性函数将交易金额信息合并到采样概率中,从节点cj-1到相邻节点cj基于交易金额的转移概率表示为:
在基于时间的有偏采样中,假设交易时间越晚,对节点关系的影响越大。首先,将边缘的真实时间戳映射到离散时间步长。定义T(cj-1,cj)表示节点cj-1和节点cj之间的同向交易时间戳的平均值,从节点cj-1到相邻节点cj基于交易时间的转移概率表示为:
为了同时考虑时间和金额,本发明使用参数α∈[0,1]平衡其影响。从节点cj-1到相邻节点cj的转移概率可以表示为:
更进一步讲,在采样策略中,使用基于广度优先遍历和深度优先遍历的时间加权随机游走算法分别搜索当前节点的邻域节点来提取节点的局部特征和全局特征,最终得到两种游走序列,即:深度游走路径和广度游走路径。
在深度游走路径生成器中,利用深度优先遍历图的思想,通过上面计算得到的各边的转移概率随机深度游走获得n个以vi∈V为顶点的固定长度为l的随机深度游走路径在广度游走路径生成器中,利用广度优先遍历图的思想,通过上面计算得到的各边的转移概率随机广度游走获得顶点vi∈V的固定长度和固定层次都为l的随机广度游走路径
在网络嵌入的特征学习过程中,分别对两种游走序列中得到的游走路径利用随机梯度下降优化节点嵌入的映射函数f,得到深度优先游走嵌入向量E1和广度优先游走嵌入向量E2。最后,对两种游走路径得到的嵌入向量进行合并
步骤3、检测模型训练:将步骤2得到的特征序列向量作为输入,步骤1中对应的对交易地址的区分结果作为输出,对CNN分类器进行训练以得到检测模型;
在本发明中,CNN包含了两个卷积块,每个卷积块由卷积层、最大池化层以及完全连接层组成。优选地,两个卷积块中的卷积层分别设置为3*3*32和3*3*64,最大池化层设置为2*2,步长为2,完全连接层的输出大小为64*1。
卷积层的输出为:
其中i是特征的索引序列,j代表特征映射的索引序列,Relu为激活函数, W为权重,B为偏差大小,x为输入的向量,3代表卷积核的大小。
池化层的输出为:
其中1是步幅大小,2是池的大小。
模型训练完成之后,为了检验本发明模型预测的结果,对模型进行测试,并将测试的预测值和实际值之间的差距进行比较。本发明使用损失函数“分类交叉熵”函数来评估当前模型测试概率分布和实际分布之间的偏差,并且在模型测试中,使用1代表异常,0表示正常。并且两种概率越接近,损失值越小,分类交叉熵公式如下:
其中n代表待检测的数量,y是预期输出值,a为实际输出值。
步骤4、异常交易检测:利用步骤3得到的检测模型对区块链交易中的异常交易进行检测,检测模型输入为步骤2得到的特征序列向量,输出为异常交易。
此实施例仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种面向区块链交易行为的异常检测方法,包括:
步骤1、建立整体交易网络:获取区块链中以太坊交易记录数据,交易记录包括交易双方地址、交易金额、交易时间,将交易地址进行正常地址和异常地址的区分,并将获取的数据划分为训练集和测试集;将获取的交易记录构造成交易网络图,并把交易网络图转化成邻接矩阵;
步骤2、特征提取:使用基于时间加权多通道游走的交易网络嵌入模型,将邻接矩阵作为输入,从中提取出特征序列向量;
步骤3、检测模型训练:将步骤2得到的特征序列向量作为输入,步骤1中对应的对交易地址的区分结果作为输出,对CNN分类器进行训练以得到检测模型;
步骤4、异常交易检测:利用步骤3得到的检测模型对区块链交易中的异常交易进行检测,检测模型输入为步骤2得到的特征序列向量,输出为异常交易。
2.根据权利要求1所述的一种面向区块链交易行为的异常检测方法,其特征在于:所述步骤1中的交易网络图记作G=(V,E,A,T),其中V代表交易双方的地址,E代表交易双方形成的有向边,A代表双方的交易金额,T代表交易时间;所述交易网络图某两个节点的多次交易并不会被合并到一次交易,有向边的序号是依据交易时间T顺序确定的,时间越早,其顺序越靠前。
3.根据权利要求1所述的一种面向区块链交易行为的异常检测方法,其特征在于:所述邻接矩阵包括代表交易地址之间是否存在交易的交易邻接矩阵,存在交易的交易双方的交易金额邻接矩阵,存在交易的交易双方的时间邻接矩阵;交易地址之间如果存在交易,则交易邻接矩阵表示为1,不存在交易表示为0;若交易双方存在交易,则交易金额邻接矩阵的值为对应的交易金额,时间邻接矩阵的值对应交易的时间戳的值。
4.根据权利要求1所述的一种面向区块链交易行为的异常检测方法,其特征在于:所述基于时间加权多通道游走的交易网络嵌入模型包括随机游走生成器和网络嵌入的特征学习过程;随机游走生成器通过执行截断随机游动,将大规模网络转换为从中采样的一组节点序列,用于捕获节点之间的结构关系;特征学习过程中,使用Skip-gram算法对节点序列嵌入向量表示。
9.根据权利要求1所述的一种面向区块链交易行为的异常检测方法,其特征在于:所述CNN包含两个卷积块,每个卷积块由卷积层、最大池化层以及完全连接层组成。
10.根据权利要求9所述的一种面向区块链交易行为的异常检测方法,其特征在于:所述两个卷积块中的卷积层分别设置为3*3*32和3*3*64,所述最大池化层设置为2*2,步长为2,所述完全连接层的输出大小为64*1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210661014.2A CN114862588A (zh) | 2022-06-13 | 2022-06-13 | 一种面向区块链交易行为的异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210661014.2A CN114862588A (zh) | 2022-06-13 | 2022-06-13 | 一种面向区块链交易行为的异常检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114862588A true CN114862588A (zh) | 2022-08-05 |
Family
ID=82624684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210661014.2A Pending CN114862588A (zh) | 2022-06-13 | 2022-06-13 | 一种面向区块链交易行为的异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114862588A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116843400A (zh) * | 2023-03-30 | 2023-10-03 | 北京邮电大学 | 基于图表示学习的区块链碳排放交易异常检测方法和装置 |
-
2022
- 2022-06-13 CN CN202210661014.2A patent/CN114862588A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116843400A (zh) * | 2023-03-30 | 2023-10-03 | 北京邮电大学 | 基于图表示学习的区块链碳排放交易异常检测方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yuan et al. | Detecting phishing scams on ethereum based on transaction records | |
CN110147911B (zh) | 一种基于内容感知的社交影响力预测模型及预测方法 | |
CN111008337B (zh) | 一种基于三元特征的深度注意力谣言鉴别方法及装置 | |
Zhang et al. | Blockchain phishing scam detection via multi-channel graph classification | |
CN110851176B (zh) | 一种自动构造并利用伪克隆语料的克隆代码检测方法 | |
CN109840322A (zh) | 一种基于强化学习的完形填空型阅读理解分析模型及方法 | |
CN109670306A (zh) | 基于人工智能的电力恶意代码检测方法、服务器及系统 | |
CN112329444B (zh) | 融合文本和传播结构的早期谣言检测方法 | |
CN110287329A (zh) | 一种基于商品文本分类的电商类目属性挖掘方法 | |
CN107679135A (zh) | 面向网络文本大数据的话题检测与跟踪方法、装置 | |
CN113283909B (zh) | 一种基于深度学习的以太坊钓鱼账户检测方法 | |
CN113641906A (zh) | 基于资金交易关系数据实现相似目标人员识别处理的系统、方法、装置、处理器及其介质 | |
CN113705099A (zh) | 基于对比学习的社交平台谣言检测模型构建方法及检测方法 | |
CN110011990A (zh) | 内网安全威胁智能分析方法 | |
CN113904844B (zh) | 基于跨模态教师-学生网络的智能合约漏洞检测方法 | |
CN113268370A (zh) | 一种根因告警分析方法、系统、设备及存储介质 | |
CN116150509A (zh) | 社交媒体网络的威胁情报识别方法、系统、设备及介质 | |
CN114862588A (zh) | 一种面向区块链交易行为的异常检测方法 | |
CN113314188B (zh) | 图结构增强的小样本学习方法、系统、设备及存储介质 | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
CN116258504B (zh) | 银行客户关系管理系统及其方法 | |
CN115982374B (zh) | 大坝应急响应知识库联动的多视角学习实体对齐方法和系统 | |
He et al. | A comparative study of different approaches for tracking communities in evolving social networks | |
CN114218445A (zh) | 基于元图动态异构信息网络表示的异常检测方法 | |
Li et al. | Data, language and graph-based reasoning methods for identification of human malicious behaviors in nuclear security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |