JP2022546952A - 暗号通貨取引の分析方法及び装置 - Google Patents

暗号通貨取引の分析方法及び装置 Download PDF

Info

Publication number
JP2022546952A
JP2022546952A JP2022512810A JP2022512810A JP2022546952A JP 2022546952 A JP2022546952 A JP 2022546952A JP 2022512810 A JP2022512810 A JP 2022512810A JP 2022512810 A JP2022512810 A JP 2022512810A JP 2022546952 A JP2022546952 A JP 2022546952A
Authority
JP
Japan
Prior art keywords
address
information
cryptocurrency
addresses
fraudulent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022512810A
Other languages
English (en)
Other versions
JP7309242B2 (ja
Inventor
サンドク ソ
チャンフン ユン
スンヒョン リ
Original Assignee
エスツーダブリュー インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エスツーダブリュー インコーポレイテッド filed Critical エスツーダブリュー インコーポレイテッド
Publication of JP2022546952A publication Critical patent/JP2022546952A/ja
Application granted granted Critical
Publication of JP7309242B2 publication Critical patent/JP7309242B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • G06N3/0442Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本願の不正なアドレス検出方法は、データベースから不正な取引に用いられたとラベル付けされた不正なアドレスに関する情報及び通常の取引に用いられたとラベル付けされた良好なアドレスに関する情報を取得するステップ、不正なアドレスに関する情報に基づき同じユーザが所有していると判定された不正なアドレスグループに関する情報を取得するステップ、不正なアドレスグループに基づき、ミュールアドレスグループに関する情報を取得するステップ、良好なアドレスに関する情報、不正なアドレスグループに関する情報又はミュールアドレスグループに関する情報のうち少なくとも1つに基づき、良好なアドレス、不正なアドレスグループ又はミュールアドレスグループに含まれた其々のアドレスに対応する特徴情報を取得するステップ、其々のアドレスに対応する特徴情報及び其々のアドレスに対応するラベル情報を機械学習し機械学習モデルを生成するステップを含む。【選択図】図10

Description

本開示は、機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法及び装置に関する。さらに詳しく、本開示は、機械学習モデルを生成するために予め取得された不正なアドレスに関する情報及び良好なアドレスに関する情報から特徴情報を導出する。
暗号通貨(cryptocurrency)は、交換手段として機能するように設計されたデジタル資産であり、ブロックチェーン(blockchain)技術で暗号化され、分散発行され、一定のネットワーク上で通貨として使用できる電子情報である。暗号通貨は、中央銀行が発行するものではなく、ブロックチェーン技術に基づいて、金銭的価値がデジタル方式で表示された電子情報であって、インターネット上のP2P方式で分散保存されて運用・管理される。暗号通貨を発行して管理する重要な手法は、ブロックチェーン(blockchain)技術である。ブロックチェーンは、継続して増え続ける記録(ブロック)の一覧表であり、ブロックは、暗号化方法を用いて連結されるので、セキュリティが確保される。各ブロックは、典型的には、前のブロックの暗号ハッシュ、タイムスタンプと取引データを含んでいる。ブロックチェーンは、最初からデータの修正に対する抵抗力を有しており、両当事者間の取引を有効且つ永久的に証明できる公開された分散帳簿である。従って、暗号通貨は、不正操作防止を基に透明な運用が可能である。
そのほか、暗号通貨は、従来の通貨とは異なり、匿名性を有しているので、送金した人と送金された人以外の第三者は、取引履歴を一切知ることができないという特徴がある。口座の匿名性のために取引の流れを追跡することが困難であり(Non-trackable)、送金記録、集金記録などの一切の記録はすべて公開されているものの、取引主体を知ることはできない。
暗号通貨は、前述したような自由性及び透明性のために、従来の基軸通貨を代替することのできる代案であると言われており、従来の通貨に比較して安価な手数料と簡単な送金手続きのために国際間取引などに効果的に用いられることができると考えられる。但し、その匿名性のために、暗号通貨は、不正な取引に用いられるなど、犯罪の手段として悪用されることもある。
また、暗号通貨取引のデータは膨大であるので、不正な取引の特徴を手動で判別し、詐欺主体を特定することが困難であるといった課題があった。これに関して、機械学習を用いると、膨大なデータの関係を自動的に学習することができる。
よって、機械学習を用いて暗号通貨を犯罪手段として用いる取引主体を特定する方法が求められている。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法は、データベースから、不正な取引に用いられたとラベル付けされた不正なアドレス(scam addresses)に関する情報及び通常の取引に用いられたとラベル付けされた良好なアドレス(benign addresses)に関する情報を取得するステップと、不正なアドレスに関する情報に基づいて、同じユーザが所有していると判定された不正なアドレスグループに関する情報を取得するステップと、不正なアドレスグループに基づいて、マネーロンダリングに用いられるミュール(mule)アドレスグループに関する情報を取得するステップと、良好なアドレスに関する情報、不正なアドレスグループに関する情報、またはミュールアドレスグループに関する情報のうち少なくとも1つに基づいて、良好なアドレス、不正なアドレスグループまたはミュールアドレスグループに含まれたそれぞれのアドレスに対応する特徴情報を取得するステップと、それぞれのアドレスに対応する特徴情報及びそれぞれのアドレスに対応するラベル情報を機械学習することで、機械学習モデルを生成するステップとを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、ミュールアドレスグループに関する情報を取得するステップは、不正なアドレスグループに関する情報に基づいて、不正なアドレスグループに含まれた第1の不正なアドレスに関連する暗号通貨の流れを取得するステップと、第1の不正なアドレスから暗号通貨が送付され、不正なアドレスグループまたは不正なアドレスグループとは異なる不正なアドレスグループに含まれた第2の不正なアドレスに到達するまで経由するアドレスの集まりをミュールアドレスグループとして判定するステップとを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、特徴情報を取得するステップは、良好なアドレスに関する情報、不正なアドレスグループに関する情報、及びミュールアドレスグループに関する情報に基づいて、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスの最初の取引から最後の取引までの時間を示す第1の特徴情報を取得するステップを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、特徴情報を取得するステップは、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスの暗号通貨の預入から暗号通貨の送付までにかかる時間の平均を示す第2の特徴情報を取得するステップを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、特徴情報を取得するステップは、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスが暗号通貨を預入する第1の取引の数に対して、第1の取引で暗号通貨を送付する出発地アドレスの数を示す第1のアドレス数情報を取得するステップと、第1の取引の数に対して、第1の取引で暗号通貨を預入する目的地アドレスの数を示す第2のアドレス数情報を取得するステップと、目標アドレスが暗号通貨を送付する第2の取引の数に対して、第2の取引で暗号通貨を送付する出発地アドレスの数を示す第3のアドレス数情報を取得するステップと、第2の取引の数に対して、第2の取引で暗号通貨を預入する目的地アドレスの数を示す第4のアドレス数情報を取得するステップと、第1のアドレス数情報、第2のアドレス数情報、第3のアドレス数情報、及び第4のアドレス数情報を第3の特徴情報として判定するステップとを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、特徴情報を取得するステップは、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスが暗号通貨を預入した暗号通貨全体に対して、目標アドレスが含まれたアドレスグループから暗号通貨を直接預入した暗号通貨の割合を示す第1の割合情報を取得するステップと、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を直接預入した暗号通貨の割合を示す第2の割合情報を取得するステップと、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、不正なアドレスグループに含まれた第1のアドレスから暗号通貨を直接預入した暗号通貨の割合を示す第3の割合情報を取得するステップと、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、ミュールアドレスグループに含まれた第2のアドレスから暗号通貨を直接預入した暗号通貨の割合を示す第4の割合情報を取得するステップと、第1の割合情報、第2の割合情報、第3の割合情報、及び第4の割合情報を第4の特徴情報として判定するステップとを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、特徴情報を取得するステップは、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスが暗号通貨を送付した暗号通貨全体に対して、目標アドレスが含まれたアドレスグループに暗号通貨を直接送付した暗号通貨の割合を示す第5の割合情報を取得するステップと、目標アドレスが暗号通貨を送付した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を直接送付した暗号通貨の割合を示す第6の割合情報を取得するステップと、目標アドレスが暗号通貨を送付した暗号通貨全体に対して、不正なアドレスグループに含まれた第1のアドレスに暗号通貨を直接送付した暗号通貨の割合を示す第7の割合情報を取得するステップと、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、ミュールアドレスグループに含まれた第2のアドレスに暗号通貨を直接送付した暗号通貨の割合を示す第8の割合情報を取得するステップと、第5の割合情報、第6の割合情報、第7の割合情報、及び第8の割合情報を第5の特徴情報として判定するステップとを含むことを特徴とする。
本開示の機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法において、特徴情報を取得するステップは、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスが暗号通貨を送付した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を間接送付した暗号通貨の割合を示す第9の割合情報を取得するステップと、目標アドレスが暗号通貨を送付した暗号通貨全体に対して、不正なアドレスグループに含まれた第1のアドレスに暗号通貨を間接送付した暗号通貨の割合を示す第10の割合情報を取得するステップと、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、ミュールアドレスグループに含まれた第2のアドレスに暗号通貨を間接送付した暗号通貨の割合を示す第11の割合情報を取得するステップと、第9の割合情報、第10の割合情報、及び第11の割合情報を第6の特徴情報として判定するステップとを含むことを特徴とする。
本開示において、機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法は、新しい暗号通貨アドレスを取得するステップと、新しい暗号通貨アドレスに関する新しい特徴情報を取得するステップと、新しい特徴情報を機械学習モデルに適用して、新しい暗号通貨アドレスが、不正なアドレスであるか否かを判定するステップとを含むことを特徴とする。
本開示において、機械学習モデルを用いて暗号通貨の不正なアドレスを検出するための方法は、新しい暗号通貨アドレスが、不正なアドレスグループに含まれた場合、新しい暗号通貨アドレスの不正リスクを5に判定するステップと、新しい暗号通貨アドレスが、不正なアドレスグループに含まれた第1のアドレスと直接暗号通貨を取引した場合、新しい暗号通貨アドレスの不正リスクを4に判定するステップと、新しい暗号通貨アドレスが、不正なアドレスグループに含まれた第1のアドレスと間接的に暗号通貨を取引した場合、新しい暗号通貨アドレスの不正リスクを3に判定するステップと、機械学習モデルに基づいて、新しい暗号通貨アドレスが、不正なアドレスであると判定された場合、新しい暗号通貨アドレスの不正リスクを2に判定するステップと、新しい暗号通貨アドレスに取引履歴がない場合、新しい暗号通貨アドレスの不正リスクを1に判定するステップと、リスクが1から5に分類されていない場合、新しい暗号通貨アドレスの不正リスクを0に判定するステップとを含むことを特徴とする。
さらに、前述のような不正なアドレスを検出するための方法を実現するためのプログラムは、コンピュータ可読記録媒体に記録されてもよい。
本開示の一実施形態に係る不正なアドレス検出装置のブロック図である。 本開示の一実施形態に係る不正なアドレス検出装置を示す図である。 本開示の一実施形態に係る不正なアドレス検出装置を示すブロック図である。 本開示の一実施形態に係る不正なアドレス検出装置の動作を示すフローチャートである。 本開示の一実施形態に従ってミュールアドレスグループに関する情報を取得する方法を示すフローチャートである。 本開示の一実施形態に従ってミュールアドレスグループに関する情報を取得する過程を示すフローチャートである。 本開示の一実施形態に従ってミュールアドレスグループに関する情報を取得する過程を示すフローチャートである。 本開示の一実施形態に従ってミュールアドレスグループに関する情報を取得する過程を示すフローチャートである。 本開示の一実施形態に従って特徴情報を取得する過程を示す説明図である。 本開示の一実施形態に係る不正なアドレス検出装置100の動作を示すブロック図である。
開示された実施形態の利点、特徴及びそれらを達成する方法は、添付図面と共に後述する実施形態を参照することにより明確になるであろう。しかしながら、本開示は、以下に開示する実施形態に限定されるものではなく、様々な形態で実現することができ、これらの実施形態は、単に本開示が完全なものとなるように、本開示の属する技術分野における通常の知識を有する者に発明の範囲を完全に理解させるために提供するものに過ぎない。
本明細書で用いられる用語について簡単に説明し、開示された実施形態について詳しく説明する。
本明細書で用いられる用語は、本開示における機能を考慮しつつ、可能な限り現在広く用いられている一般的な用語を選択しているが、これは関連分野に属する技術者の意図または判例、新しい技術の出現などによって変わり得る。また、特定の場合は、出願人が任意に選定した用語もあり、その場合、該当する発明の詳細な説明部分においてその意味を詳しく記載する。よって、本開示で用いられる用語は、単なる用語の名称ではなく、その用語が有する意味と本開示の全体に亘った内容に基づいて定義されるべきである。
本明細書における単数の表現は、文脈からみて明らかに単数であると特定しない限り、複数の表現を含む。また、複数の表現は、文脈からみて明らかに複数であると特定しない限り、単数の表現を含む。
明細書全体において、ある部分がある構成要素を「含む」という場合、これは特に断らない限り、他の構成要素を除外するのではなく、他の構成要素をさらに含んでもよいことを意味する。
さらに、本明細書で用いられる「部」なる用語は、ソフトウェアまたはハードウェアコンポーネントを意味し、「部」は、所定の役割を果たす。但し、「部」は、ソフトウェアまたはハードウェアに限定される意味ではない。「部」は、アドレス指定可能な記憶媒体に含まれるように構成されてもよく、1つまたはそれ以上のプロセッサを再生するように構成されてもよい。よって、一例として、「部」は、ソフトウェアコンポーネント、オブジェクト指向ソフトウェアコンポーネント、クラスコンポーネント、及びタスクコンポーネントなどのコンポーネントと、プロセス、関数、属性、プロシージャ、サブルーチン、プログラムコードのセグメント、ドライバ、ファームウェア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイ、及び変数とを含む。コンポーネント及び「部」の中で提供される機能は、より少ない数のコンポーネント及び「部」で組み合わせられるか、あるいは更なるコンポーネントと「部」に再度分離されてもよい。
本開示の一実施形態によれば、「部」は、プロセッサ及びメモリで実現されてもよい。「プロセッサ」なる用語は、汎用プロセッサ、中央処理装置(CPU)、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、コントローラ、マイクロコントローラ、状態マシンなどを含むように広く解釈されるべきである。ある環境では、「プロセッサ」は、特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、フィールドプログラマブルゲートアレイ(FPGA)などを指してもよい。「プロセッサ」なる用語は、例えば、DSPとマイクロプロセッサの組み合わせ、複数のマイクロプロセッサの組み合わせ、DSPコアと結合した1つ以上のマイクロプロセッサの組み合わせ、または他の任意のそのような構成の組み合わせなどの処理装置の組み合わせを指してもよい。
「メモリ」なる用語は、電子情報を記憶可能な任意の電子コンポーネントを含むように広く解釈されるべきである。用語メモリは、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、不揮発性ランダムアクセスメモリ(NVRAM)、プログラマブル読み出し専用メモリ(PROM)、消去可能プログラマブル読み出し専用メモリ(EPROM)、電気的消去可能PROM(EEPROM)、フラッシュメモリ、磁気または光学データ記憶装置、レジスタなどのようなプロセッサ可読媒体の様々な種類を指してもよい。プロセッサがメモリから情報を読み取り、及び/またはメモリに情報を書き込むことができる場合、メモリは、プロセッサと電子通信状態にあると称される。プロセッサに集積されたメモリは、プロセッサと電子通信状態にある。
以下では、添付図面を参照して、本開示の属する技術分野における通常の知識を有する者が容易に実施できるように、実施例について詳しく説明する。なお、図面において、本開示を明確に説明するために、説明に関係ない部分は省略する。
図1は、本開示の一実施形態に係る不正なアドレス検出装置100のブロック図である。
図1を参照すると、一実施形態に係る不正なアドレス検出装置100は、データ学習部110またはデータ認識部120のうち少なくとも1つを含む。前述したような不正なアドレス検出装置100は、プロセッサ及びメモリを含む。
データ学習部110は、データセットを用いてターゲットタスク(target task)を実行するための機械学習モデルを学習する。データ学習部110は、データセット及びターゲットタスクに関するラベル情報を受信する。データ学習部110は、データセットとラベル情報との関係について機械学習を行うことで機械学習モデルを取得する。データ学習部110が取得した機械学習モデルは、データセットを用いてラベル情報を生成するためのモデルである。
データ認識部120は、データ学習部110の機械学習モデルを受信して記憶する。データ認識部120は、入力データに機械学習モデルを適用してラベル情報を出力する。また、データ認識部120は、入力データ、ラベル情報、及び機械学習モデルによって出力された結果を機械学習モデルを更新するために用いる。
データ学習部110及びデータ認識部120のうち少なくとも1つは、少なくとも1つのハードウェアチップの形態で作製され、電子装置に搭載される。例えば、データ学習部110及びデータ認識部120のうち少なくとも1つは、人工知能(AI;artificial intelligence)のための専用ハードウェアチップの形態で作られてもよく、あるいは既存の汎用プロセッサ(例えば、CPUまたはapplication processor)またはグラフィック専用プロセッサ(例えば、GPU)の一部として作製され、既に説明した様々な電子装置に搭載されてもよい。
また、データ学習部110及びデータ認識部120は、個別の電子装置にそれぞれ搭載される。例えば、データ学習部110及びデータ認識部120のうちの一方は電子装置に含まれ、他方はサーバに含まれてもよい。また、データ学習部110及びデータ認識部120は、有線または無線を介して、データ学習部110が構築した機械学習モデル情報をデータ認識部120に提供してもよく、データ認識部120に入力されたデータを、追加学習データとしてデータ学習部110に提供してもよい。
さらに、データ学習部110及びデータ認識部120のうち少なくとも1つは、ソフトウェアモジュールで実現される。データ学習部110及びデータ認識部120のうち少なくとも一方がソフトウェアモジュール(またはインストラクション(instruction)を含むプログラムモジュール)で実現される場合、ソフトウェアモジュールは、メモリまたはコンピュータで読み取り可能な非一時的に読み取り可能な記録媒体(non-transitory computer readable media)に格納されてもよい。また、その場合、少なくとも1つのソフトウェアモジュールは、OS(Operating System)によって提供されてもよく、所定のアプリケーションによって提供されてもよい。あるいは、少なくとも1つのソフトウェアモジュールの一部はOS(Operating System)によって提供され、残りの部分は所定のアプリケーションによって提供されてもよい。
本開示の一実施形態に係るデータ学習部110は、データ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115を含む。
データ取得部111は、機械学習に必要なデータを取得する。学習には多量のデータが必要であるため、データ取得部111は、複数のデータを含むデータセットを受信してもよい。
複数のデータのそれぞれにラベル情報が割り当てられる。ラベル情報は、複数のデータのそれぞれを説明する情報であってもよい。ラベル情報は、ターゲットタスク(target task)が導出したい情報であってもよい。ラベル情報は、ユーザ入力によって取得したり、メモリから取得したり、機械学習モデルの結果から取得したりしてもよい。例えば、ターゲットタスクが暗号通貨アドレスの取引履歴に関する情報から暗号通貨アドレスが詐欺師の所有するアドレスであるか否かを判定するためのものであれば、機械学習に用いられる複数のデータは、暗号通貨アドレスの取引履歴に関連するデータとなり、ラベル情報は、暗号通貨アドレスが詐欺師の所有するアドレスであるか否かになる。
前処理部112は、受信したデータを機械学習に利用できるように、取得したデータを前処理する。前処理部112は、後述するモデル学習部114が利用できるように、取得したデータセットを予め設定されたフォーマットに加工する。
学習データ選択部113は、前処理済みのデータの中から学習に必要なデータを選択する。選択されたデータはモデル学習部114に提供される。学習データ選択部113は、予め設定された基準に基づいて、前処理済みのデータの中から学習に必要なデータを選択する。また、学習データ選択部113は、後述するモデル学習部114による学習によって予め設定された基準に基づいてデータを選択してもよい。
モデル学習部114は、データセットに基づいて所定のラベル情報を出力するかに関する基準を学習する。また、モデル学習部114は、データセット及びデータセットに対するラベル情報を学習データとして用いることで機械学習を行う。さらに、モデル学習部114は、予め取得された機械学習モデルを追加利用して機械学習を行ってもよい。その場合、予め取得された機械学習モデルは予め構築されたモデルである。例えば、機械学習モデルは、基本学習データを入力して事前に構築されたモデルであってもよい。
機械学習モデルは、学習モデルの適用分野、学習の目的または装置のコンピュータ性能などを考慮して構築される。機械学習モデルは、例えば、神経回路網(Neural Network)に基づくモデルであってもよい。例えば、Deep Neural Network(DNN)、Recurrent Neural Network(RNN)、Long Short-Term Memory models(LSTM)、BRDNN(Bidirectional Recurrent Deep Neural Network)、Convolutional Neural Networks(CNN)などのモデルが機械学習モデルとして用いられてもよいが、これらに限定されるものではない。
様々な実施形態によれば、モデル学習部114は、予め構築された機械学習モデルが複数存在する場合、入力された学習データと基本学習データとの関連性の高い機械学習モデルを学習する機械学習モデルとして決定する。その場合、基本学習データは、データの種類ごとに予め分類されていてもよく、機械学習モデルは、データの種類ごとに予め構築されていてもよい。例えば、基本学習データは、学習データが生成された場所、学習データが生成された時間、学習データのサイズ、学習データの生成者、学習データ中のオブジェクトの種類などのような様々な基準で予め分類されている。
また、モデル学習部114は、例えば、誤差逆伝搬法(error back-propagation)または傾斜降下法(gradient descent)を含む学習アルゴリズムなどを用いて機械学習モデルを学習する。
さらに、モデル学習部114は、例えば、学習データを入力値とする教師あり学習(supervised learning)によって機械学習モデルを学習する。また、モデル学習部114は、例えば、特に指導を受けることなくターゲットタスク(target task)のために必要なデータの種類を自ら学習することにより、ターゲットタスクのための基準を発見する教師なし学習(unsupervised learning)によって、機械学習モデルを取得する。さらに、モデル学習部114は、例えば、学習に伴うターゲットタスクの結果が正しいかどうかに関するフィードバックを利用する強化学習(reinforcement learning)によって、機械学習モデルを学習する。
また、機械学習モデルが学習されると、モデル学習部114は、学習済みの機械学習モデルを記憶する。その場合、モデル学習部114は、学習済みの機械学習モデルをデータ認識部120を含む電子装置のメモリに記憶してもよい。あるいは、モデル学習部114は、学習済みの機械学習モデルを電子装置と有線または無線ネットワークで接続されたサーバのメモリに記憶してもよい。
学習済みの機械学習モデルが記憶されるメモリは、例えば、電子装置の少なくとも1つの他の構成要素に関連する命令またはデータを併せて記憶する。さらに、メモリは、ソフトウェア及び/またはプログラムを記憶する。プログラムは、例えば、カーネル、ミドルウェア、アプリケーションプログラミングインターフェース(API)及び/またはアプリケーションプログラム(または「アプリケーション」)などを含んでもよい。
モデル評価部115は、機械学習モデルに評価データを入力し、評価データから出力された結果が所定の基準を満たさない場合、モデル学習部114に再学習させる。その場合、評価データは、機械学習モデルを評価するために予め設定されたデータであってもよい。
例えば、モデル評価部115は、評価データに対する学習済みの機械学習モデルの結果のうち、認識結果が不正確である評価データの数または割合が予め設定された閾値を超える場合、所定の基準を満たさないと評価する。例えば、所定の基準が比率2%と定義された場合、学習済みの機械学習モデルが合計1000個の評価データのうち20個を超える評価データに対して誤認識結果を出力すると、モデル評価部115は、学習済みの機械学習モデルが適切ではないと評価する。
なお、学習済みの機械学習モデルが複数存在する場合、モデル評価部115は、それぞれの学習済みの機械学習モデルに対して所定の基準を満たすか否かを評価し、所定の基準を満たすモデルを最終機械学習モデルとして決定する。その場合、所定基準を満たすモデルが複数ある場合、モデル評価部115は、評価スコアの高い順に予め設定されたいずれか1つまたは所定数のモデルを最終機械学習モデルとして決定する。
さらに、データ学習部110中のデータ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115のうち少なくとも1つは、少なくとも1つのハードウェアチップの形態で作製され、電子装置に搭載される。例えば、データ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115のうち少なくとも1つは、人工知能(AI;artificial intelligence)のための専用のハードウェアチップの形態で作製されてもよく、あるいは既存の汎用プロセッサ(例えば、CPUまたはapplication processor)またはグラフィック専用プロセッサ(例えば、GPU)の一部として作製され、前述の様々な電子装置に搭載されてもよい。
また、データ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115は、1つの電子装置に搭載されてもよく、あるいは別途の電子装置にそれぞれ搭載されてもよい。例えば、データ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115の一部は電子装置に含まれ、残りの一部はサーバに含まれる。
また、データ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115のうち少なくとも1つは、ソフトウェアモジュールで実現される。データ取得部111、前処理部112、学習データ選択部113、モデル学習部114、及びモデル評価部115のうち少なくとも1つがソフトウェアモジュール(または、インストラクション(instruction)を含むプログラムモジュール)で実現される場合、ソフトウェアモジュールは、コンピュータで読み取り可能な非一時的に読み取り可能な記録媒体(non-transitory computer readable media)に格納されてもよい。また、その場合、少なくとも1つのソフトウェアモジュールは、OS(Operating System)によって提供されてもよく、所定のアプリケーションによって提供されてもよい。あるいは、少なくとも1つのソフトウェアモジュールの一部はOS(Operating System)によって提供され、残りの部分は所定のアプリケーションによって提供されてもよい。
本開示の一実施形態に係るデータ認識部120は、データ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125を含む。
データ取得部121は、入力データを受信する。前処理部122は、取得した入力データを認識データ選択部123または認識結果提供部124で利用できるように、取得した入力データを前処理する。
認識データ選択部123は、前処理済みのデータの中から必要なデータを選択する。選択されたデータは認識結果提供部124に提供される。認識データ選択部123は、予め設定された基準に基づいて、前処理済みのデータの中から一部または全部を選択する。また、認識データ選択部123は、モデル学習部114による学習によって予め設定された基準に基づいてデータを選択してもよい。
認識結果提供部124は、選択されたデータを機械学習モデルに適用して結果データを取得する。機械学習モデルは、モデル学習部114によって生成された機械学習モデルであってもよい。認識結果提供部124は、結果データを出力する。
モデル更新部125は、認識結果提供部124によって提供される認識結果に対する評価に基づいて、機械学習モデルを更新する。例えば、モデル更新部125は、認識結果提供部124によって提供される認識結果をモデル学習部114に提供することにより、モデル学習部114に機械学習モデルを更新させる。
なお、データ認識部120中のデータ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125のうち少なくとも1つは、少なくとも1つのハードウェアチップの形態で作製され、電子装置に搭載される。例えば、データ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125のうち少なくとも1つは、人工知能(AI;artificial intelligence)のための専用のハードウェアチップの形態で作製されてもよく、あるいは既存の汎用プロセッサ(例えば、CPUまたはapplication processor)またはグラフィック専用プロセッサ(例えば、GPU)の一部として作製され、前述の様々な電子装置に搭載されてもよい。
また、データ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125は、1つの電子装置に搭載されてもよく、あるいは別途の電子装置にそれぞれ搭載されてもよい。例えば、データ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125の一部は電子装置に含まれ、残りの一部はサーバに含まれる。
さらに、データ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125のうち少なくとも1つは、ソフトウェアモジュールで実現される。データ取得部121、前処理部122、認識データ選択部123、認識結果提供部124、及びモデル更新部125のうち少なくとも1つがソフトウェアモジュール(または、インストラクション(instruction)を含むプログラムモジュール)で実現される場合、ソフトウェアモジュールは、コンピュータで読み取り可能な非一時的に読み取り可能な記録媒体(non-transitory computer readable media)に格納されてもよい。また、その場合、少なくとも1つのソフトウェアモジュールは、OS(Operating System)によって提供されてもよく、所定のアプリケーションによって提供されてもよい。あるいは、少なくとも1つのソフトウェアモジュールの一部はOS(Operating System)によって提供され、残りの部分は所定のアプリケーションによって提供されてもよい。
以下では、データ学習部110のデータ取得部111、前処理部112、及び学習データ選択部113が学習データを受信して処理する方法及び装置についてより詳しく説明する。
図2は、本開示の一実施形態に係る不正なアドレス検出装置を示す図である。
不正なアドレス検出装置100は、プロセッサ210及びメモリ220を含む。プロセッサ210は、メモリ220に記憶された命令語を実行する。
前述したように、不正なアドレス検出装置100は、データ学習部110またはデータ認識部120を含む。データ学習部110またはデータ認識部120は、プロセッサ210及びメモリ220によって実現される。
図3は、本開示の一実施形態に係る不正なアドレス検出装置を示すブロック図である。また、図4は、本開示の一実施形態に係る不正なアドレス検出装置の動作を示すフローチャートである。
不正なアドレス検出装置100のプロセッサ210は、メモリ220に記憶された命令語に基づく機械学習を用いて暗号通貨の不正なアドレスを検出するために、以下のステップを行う。
不正なアドレス検出装置100は、データベース310から、不正な取引に用いられたとラベル付けされた不正なアドレス(scam addresses)に関する情報311及び通常の取引に用いられたとラベル付けされた良好なアドレス(benign addresses)に関する情報312を取得するステップ410を行う。
データベース310は、不正なアドレスに関する情報311及び良好なアドレスに関する情報312を格納する。不正なアドレスに関する情報及び良好なアドレスに関する情報は、不正なアドレス検出装置100のデータ取得部111、前処理部112、または学習データ選択部113に基づいてデータベース310に格納される。
データベース310は、不正なアドレス検出装置100に含まれていてもよい。また、データベース310は、不正なアドレス検出装置100の外部にあってもよい。不正なアドレス検出装置100は、有無線通信を用いてデータベース310から情報を取得する。
不正なアドレスに関する情報311及び良好なアドレスに関する情報312には、不正なアドレス及び良好なアドレスのアドレス、取引履歴が含まれる。さらに、不正なアドレスに関する情報311及び良好なアドレスに関する情報312は、不正なアドレス及び良好なアドレスに関するラベル情報を意味してもよい。不正なアドレスに関する情報及び良好なアドレスに関する情報に含まれたラベル情報は、「不正」で示されるか、あるいは「良好」で示される。
不正なアドレス検出装置100は、不正なアドレスに関する情報311に基づいて、同じユーザが所有していると判定された不正なアドレスグループに関する情報を取得するステップ420を行う。
不正なアドレス検出装置100は、アドレスグループ取得部320を含む。アドレスグループ取得部320は、予め取得されたアドレスの取引履歴に基づいて同じユーザが所有しているアドレスをさらに抽出し、同じユーザが所有しているアドレスをクラスター化(clustering)またはグループ化する。
アドレスグループ取得部320は、不正なアドレスグループ取得部321及びミュールアドレスグループ取得部322を含む。
不正なアドレスグループ取得部321は、データベース310に含まれた不正なアドレスに関する情報311に基づいて、同じユーザが所有していると判定された不正なアドレスをグループ化する。例えば、不正なアドレス検出装置100は、暗号通貨アドレスのグループ化のために、取引の送付アドレスとして用いられる暗号通貨アドレスに対応する秘密鍵(private key)の所有有無で送付アドレスの集合をグループ化するマルチ入力ヒューリスティックアルゴリズムを用いてもよい。あるいは、不正なアドレス検出装置100は、送金後に残高の返還を受けるアドレスを用いて、同じ所有者であると推定される複数のアドレスをグループ化するアドレス変更ヒューリスティックアルゴリズムを用いてもよい。また、不正なアドレス検出装置100は、他にもユーザが定義したヒューリスティックアルゴリズムを用いてもよい。さらに、不正なアドレス検出装置100は、ユーザ命令によってアドレスのフィルタリング及び/またはアドレスのグループ化を行ってもよい。
不正なアドレス検出装置100のミュールアドレスグループ取得部322は、不正なアドレスグループに基づいて、マネーロンダリングに用いられるミュールアドレスグループ(mule cluster)に関する情報を取得するステップ430を行う。ミュールアドレスグループに関する情報を取得する方法については、図5を参照してより詳しく説明する。ミュールアドレスグループに関する情報は、ミュールアドレスグループに含まれたアドレスの取引履歴またはアドレスを含む。さらに、ミュールアドレスグループに関する情報は、ラベル情報を含む。例えば、ラベル情報は「ミュール」を示してもよい。
不正なアドレス検出装置100は、アドレスグループ情報取得部330をさらに含む。アドレスグループ情報取得部330は、サービスアドレスグループに関する情報を取得する。サービスアドレスは、暗号通貨の取引所のアドレスを意味してもよい。アドレスグループ情報取得部330は、例えば、「walletExplorer.com」からサービスアドレスグループに関する情報を取得してもよい。
不正なアドレス検出装置100の特徴抽出部340は、良好なアドレスに関する情報、不正なアドレスグループに関する情報、またはミュールアドレスグループに関する情報のうち少なくとも1つに基づいて、良好なアドレスまたは不正なアドレスグループに含まれたそれぞれのアドレスに対応する特徴情報を取得するステップ440を行う。特徴情報は、良好なアドレスに関する情報、不正なアドレスグループに関する情報、またはミュールアドレスグループに関する情報に含まれる取引履歴に基づいて取得する。特徴情報については、図8を参照してより詳しく説明する。
不正なアドレス検出装置100のモデル学習部350は、それぞれのアドレスに対応する特徴情報及びそれぞれのアドレスに対応するラベル情報を機械学習することで、機械学習モデル360を生成するステップ450を行う。
不正なアドレス検出装置100は、学習済みの機械学習モデル360をメモリに記憶する。また、不正なアドレス検出装置100は、機械学習モデル360を他の不正なアドレス検出装置100に送信してもよい。
図5は、本開示の一実施形態に従ってミュールアドレスグループに関する情報を取得する方法を示すフローチャートである。図6ないし図8は、本開示の一実施形態に従ってミュールアドレスグループに関する情報を取得する過程を示すフローチャートである。
不正なアドレス検出装置100のミュールアドレスグループ取得部322は、不正なアドレスグループに関する情報311に基づいて、不正なアドレスグループに含まれた第1の不正なアドレスに関連する暗号通貨の流れを取得するステップ510を行う。
図6を参照すると、不正なアドレス検出装置100は、データベース310から、第1の不正なアドレス611に関連する暗号通貨の流れを取得する。不正なアドレス検出装置100は、第1の不正なアドレス611からアドレス621,622,625または626に暗号通貨が送付される流れを取得する。
不正なアドレス検出装置100は、第1の不正なアドレス611から暗号通貨が送付され、上記の不正なアドレスグループまたは上記の不正なアドレスグループとは異なる不正なアドレスグループに含まれた第2の不正なアドレスに到達するまで経由するアドレスの集まりをミュールアドレスグループとして判定するステップ520を行う。
統計的に、不正なアドレスは、不正なアドレスとミュールアドレスを介して暗号通貨を取引することが多い。また、良好なアドレスは、良好なアドレス同士で暗号通貨を取引する場合が圧倒的に多い。よって、不正なアドレス検出装置100は、不正なアドレスの間に含まれている中間アドレスをミュールアドレスとして判定する。
第1の不正なアドレス611から暗号通貨が送付され、中間アドレスを経て良好なアドレスのうちの1つに到達する場合、不正なアドレス検出装置100は、中間アドレスをミュールアドレスとして判定することを保留する。すなわち、不正なアドレス検出装置100は、不正なアドレス同士の取引で暗号通貨を運ぶ役割をする中間アドレスをミュールアドレスとして判定してもよく、不正なアドレスと良好なアドレスとの間の取引に含まれた中間アドレスをミュールアドレスとして判定することを保留してもよい。
不正なアドレス検出装置100は、第1の不正なアドレス611から不正なアドレスグループ630に含まれたアドレス631,632,633に暗号通貨が到達するまでの取引履歴を追跡する。不正なアドレスグループ630は、第1の不正なアドレス611を含む不正なアドレスグループ630である。しかしながら、これに限定されるものではなく、不正なアドレスグループ630は、第1の不正なアドレス611が含まれてはいないものの、不正なアドレスグループとして判定された他の不正なアドレスグループであってもよい。
不正なアドレス検出装置100は、第1の不正なアドレス611から不正なアドレスグループ630に含まれたアドレス631,632,633に暗号通貨が到達するまで経由したアドレス621,622,625,626をミュールアドレスとして取得する。また、不正なアドレス検出装置100は、不正なアドレスグループ630に含まれた第1の不正なアドレス611以外の他の不正なアドレス612から不正なアドレスグループに含まれたアドレス631,632,633に暗号通貨が到達するまで経由したアドレス623,624,627,628をミュールアドレスとして取得する。不正なアドレス検出装置100は、不正なアドレスグループ630に含まれたすべてのアドレスに対して、このような過程を繰り返す。
図7を参照すると、前述の過程を繰り返して、不正なアドレス検出装置100は、アドレス621,622,623,624,625,626,627,628をミュールアドレスとして取得する。不正なアドレス検出装置100は、アドレス621,622,623,624,625,626,627,628の取引履歴に基づいて、アドレスグループを区別する。例えば、第1のアドレスグループ621,622,623,625,626と第2のアドレスグループ624,627,628とは、互いに取引履歴を持たない。不正なアドレス検出装置100は、第1のアドレスグループ及び第2のアドレスグループを異なるグループとしてまとめる。不正なアドレス検出装置100は、第1のアドレスグループを第1のミュールアドレスグループとして判定し、第2のアドレスグループを第2のミュールアドレスグループとして判定する。
図8を参照すると、不正なアドレス検出装置100は、第1のミュールアドレスグループ810に含まれるアドレス621,622,623,625,626に関する情報に基づいて、同じユーザが所有しているアドレス811をさらに検出する。例えば、不正なアドレス検出装置100は、暗号通貨アドレスのグループ化のために、取引の送付アドレスとして用いられる暗号通貨アドレスに対応する秘密鍵(private key)の所有有無で送付アドレスの集合をグループ化するマルチ入力ヒューリスティックアルゴリズムを用いてもよい。あるいは、不正なアドレス検出装置100は、送付後に残高の返還を受けるアドレスを用いて、同じ所有者であると推定される複数のアドレスをグループ化するアドレス変更ヒューリスティックアルゴリズムを用いてもよい。また、不正なアドレス検出装置100は、他にもユーザが定義したヒューリスティックアルゴリズムを用いてもよい。さらに、不正なアドレス検出装置100は、ユーザ命令によってアドレスのフィルタリング及び/またはアドレスのグループ化を行ってもよい。
不正なアドレス検出装置100は、第2のミュールアドレスグループ820に含まれるアドレス624,627,628に関する情報に基づいて、同じユーザが所有しているアドレス821,822をさらに検出する。
図9は、本開示の一実施形態に従って特徴情報を取得する過程を示す説明図である。
不正なアドレス検出装置100は、良好なアドレスに関する情報、不正なアドレスグループに関する情報、またはミュールアドレスグループに関する情報のうち少なくとも1つに基づいて、良好なアドレスまたは不正なアドレスグループに含まれたそれぞれのアドレスに対応する特徴情報を取得するステップ440を行う。不正なアドレス検出装置100は、良好なアドレスに関する情報、不正なアドレスグループに関する情報、またはミュールアドレスグループに関する情報のうち少なくとも1つに基づいて、目標アドレス930の取引履歴を取得する。目標アドレス930は、ADDR4である。
図9を参照すると、ライン931を中心に、左は目標アドレス930が暗号通貨を預入した取引履歴であり、右は目標アドレス930が暗号通貨を送付した取引履歴である。
図9では説明の便宜のために、暗号通貨の単位としてBTCを用いた。これは、暗号通貨の一種であるビットコイン(登録商標)の単位である。しかしながら、本開示はビットコイン(登録商標)に限定されるものではなく、他の暗号通貨に同じ説明が適用されてもよい。
目標アドレス930は、取引A(921)によってサービスアドレスであるADDR1(911)から2BTCの暗号通貨を預入する。ここで、サービスアドレスは、取引所のアドレスを意味してもよい。
目標アドレス930は、取引B(922)によって目標アドレス930と同じ所有者のアドレスであるADDR2(912)から5BTCの暗号通貨を預入する。同時に、目標アドレス930は、取引B(922)によって、ミュールアドレスであるADDR3(913)から3BTCの暗号通貨を預入する。すなわち、目標アドレス930は、取引B(922)によって8BTC分の暗号通貨を預入する。
目標アドレス930は、取引C(941)によってミュールアドレスであるADDR5(951)に2BTCの暗号通貨を送付する。
目標アドレス930は、取引D(942)によってサービスアドレスであるADDR6(952)に2BTCの暗号通貨を送付する。同時に、目標アドレス930は、取引D(942)によって特定されていないアドレスであるADDR7(953)に6BTCの暗号通貨を送付する。特定されていないアドレスは、不正なアドレス検出装置100によって良好なアドレス、不正なアドレスグループ、ミュールアドレスグループ、またはサービスアドレスグループとして判定されていないアドレスである。目標アドレス930は、取引D(942)によって8BTC分の暗号通貨を送付する。
不正なアドレス検出装置100は、第1の特徴情報を含む特徴情報を取得してもよい。
不正なアドレス検出装置100は、良好なアドレス情報、不正なアドレスグループに関する情報、及びミュールアドレスグループに関する情報に基づいて、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレス930の最初の取引から最後の取引までの時間を示す第1の特徴情報を取得するステップを行う。
例えば、不正なアドレス検出装置100は、目標アドレス930に関する情報に基づいて、取引A(921)、取引B(922)、取引C(941)、取引D(942)などの取引履歴を取得する。取引A(921)は、2019年2月1日に行われ、取引B(922)は、2019年3月1日に行われ、取引C(941)は、2019年5月1日に行われ、取引D(942)は、2019年4月1日に行われた。不正なアドレス検出装置100は、目標アドレス930の最初の取引を取引A(921)として判定する。また、不正なアドレス検出装置100は、目標アドレス930の最後の取引を取引C(941)として判定する。さらに、不正なアドレス検出装置100は、最初の取引から最後の取引までの時間を89日であると判定する。不正なアドレス検出装置100は、89日を示す情報を目標アドレス930の第1の特徴情報として取得する。
不正なアドレスの第1の特徴情報は、良好なアドレスの第1の特徴よりも短い傾向がある。よって、不正なアドレス検出装置100は、第1の特徴情報に基づいて、新しいアドレスが不正なアドレスであるか否かを判定する。
不正なアドレス検出装置100は、第2の特徴情報を含む特徴情報を取得してもよい。
不正なアドレス検出装置100は、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレスの暗号通貨の預入から暗号通貨の送付までにかかる時間の平均を示す第2の特徴情報を取得するステップを行う。
例えば、目標アドレス930が取引A(921)から預入した2BTCは、取引C(941)によって目標アドレス930から送付される。取引A(921)と取引C(941)との間の時間は89日である。また、目標アドレス930が取引B(922)から預入した8BTCは、取引D(942)によって目標アドレス930から送付される。取引B(922)と取引D(942)との間の時間は31日である。よって、目標アドレスの暗号通貨の預入から暗号通貨の送付までにかかる時間の平均は、(31+89)/2=60である。不正なアドレス検出装置100は、60日を示す情報を目標アドレス930の第2の特徴情報として取得する。
不正なアドレスの第2の特徴情報は、良好なアドレスの第2の特徴よりも短い傾向がある。よって、不正なアドレス検出装置100は、第2の特徴情報に基づいて、新しいアドレスが不正なアドレスであるか否かを判定する。
不正なアドレス検出装置100は、第3の特徴情報を含む特徴情報を取得してもよい。
不正なアドレス検出装置100は、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレス930が暗号通貨を預入する第1の取引921及び922の数に対して、第1の取引で暗号通貨を送付する出発地アドレス911,912,913の数を示す第1のアドレス数情報を取得するステップを行う。
例えば、目標アドレス930は、取引A(921)及び取引B(922)のような2件の取引によって暗号通貨を預入する。取引A(921)で暗号通貨を送付する出発地アドレスは、ADDR1(911)である。また、取引B(922)で暗号通貨を送付する出発地アドレスは、ADDR2(912)及びADDR3(913)である。目標アドレス930が暗号通貨を預入する取引の数は2つであり、出発地アドレスは3つである。よって、不正なアドレス検出装置100は、第1のアドレス数情報を3/2=1.5であると判定する。
不正なアドレス検出装置100は、第1の取引の数に対して、第1の取引で暗号通貨を預入する目的地アドレスの数を示す第2のアドレス数情報を取得するステップを行う。
例えば、目標アドレス930は、取引A(921)及び取引B(922)のような2件の取引によって暗号通貨を預入する。取引A(921)で暗号通貨を預入する目的地アドレスは、目標アドレス930である。また、取引B(922)で暗号通貨を預入する目的地アドレスは、目標アドレス930である。目標アドレス930が暗号通貨を預入する取引の数は2つであり、目的地アドレスは1つである。よって、不正なアドレス検出装置100は、第2のアドレス数情報を1/2=0.5であると判定する。
不正なアドレス検出装置100は、目標アドレスが暗号通貨を送付する第2の取引の数に対して、第2の取引で暗号通貨を送付する出発地アドレスの数を示す第3のアドレス数情報を取得するステップを行う。
例えば、目標アドレス930は、取引C(941)及び取引D(942)のような2件の取引によって暗号通貨を送付する。取引C(941)で暗号通貨を送付する出発地アドレスは、目標アドレス930である。また、取引D(942)で暗号通貨を送付する出発地アドレスは、目標アドレス930である。目標アドレス930が暗号通貨を送付する取引の数は2つであり、出発地アドレスは1つである。よって、不正なアドレス検出装置100は、第3のアドレス数情報を1/2=0.5であると判定する。
不正なアドレス検出装置100は、第2の取引の数に対して、第2の取引で暗号通貨を預入する目的地アドレスの数を示す第4のアドレス数情報を取得するステップを行う。
例えば、目標アドレス930は、取引C(941)及び取引D(942)のような2件の取引によって暗号通貨を送付する。取引C(941)で暗号通貨を預入する目的地アドレスは、ADDR5(951)である。また、取引D(942)で暗号通貨を預入する目的地アドレスは、ADDR6(952)及びADDR7(953)である。目標アドレス930が暗号通貨を送付する取引の数は2つであり、目的地アドレスは3つである。よって、不正なアドレス検出装置100は、第4のアドレス数情報を3/2=1.5であると判定する。
不正なアドレス検出装置100は、第1のアドレス数情報、第2のアドレス数情報、第3のアドレス数情報、及び第4のアドレス数情報を第3の特徴情報として判定するステップを行う。
不正なアドレスが暗号通貨を預入する取引において、目的地の数は、所定数以下であることが多い。しかしながら、良好なアドレスは、主に取引所で取引をするため、多対多の取引であることが多い。よって、良好なアドレスが暗号通貨を預入する取引において、目的地の数は、所定数以上であることが多い。
また、良好なアドレスに対する出発地の数に対して、不正なアドレスが暗号通貨を送付する取引における出発地の数は、所定数以上であることが多い。これは、不正なアドレスを所有している人は、多くの暗号通貨アドレスを運営しているためである。
不正なアドレス検出装置100は、第4の特徴情報を含む特徴情報を取得してもよい。
不正なアドレス検出装置100は、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレス930が暗号通貨を預入した暗号通貨全体に対して、目標アドレス930が含まれたアドレスグループから暗号通貨を直接預入した暗号通貨の割合を示す第1の割合情報を取得するステップを行う。
良好なアドレスは、所有者を区別することなく、1つのグループとしてまとめる。良好なアドレス全体が、1つの良好なアドレスグループであると言える。しかしながら、これに限定されるものではなく、良好なアドレスを所有者ごとにグループ化してもよい。所有者ごとにグループ化された良好なアドレスを、良好なアドレスグループとしてもよい。
良好なアドレスグループ、不正なアドレスグループ、及びミュールアドレスグループは、それぞれ複数のアドレスグループを含む。目標アドレス930が第1の不正なアドレスグループに属している場合、不正なアドレス検出装置100は、目標アドレス930が暗号通貨を預入した暗号通貨全体について、第1の不正なアドレスグループに属するアドレスから暗号通貨を直接預入した暗号通貨の割合を第1の割合情報として取得する。第1の割合は、パーセント、分数または実数で表してもよい。
目標アドレス930が暗号通貨を直接預入したということは、途中で他のアドレスを経由することなく、目標アドレス930が出発地アドレスから直接暗号通貨を預入したことを意味する。また、目標アドレス930がたった1件の取引によって暗号通貨を預入したことを意味する。図9を参照すると、目標アドレス930は、取引A(921)によってADDR1(911)から暗号通貨を預入する。また、目標アドレス930は、取引B(922)によってADDR2(912)から暗号通貨を預入する。さらに、目標アドレス930は、取引B(922)によってADDR3(913)から暗号通貨を預入する。よって、図9において、目標アドレス930が暗号通貨を直接預入した出発地アドレスは、ADDR1(911)、ADDR2(912)及びADDR3(913)である。
図9を参照すると、目標アドレス930が預入した全暗号通貨は、10BTCである。目標アドレス930が含まれたアドレスグループの他のアドレスであるADDR2(912)から直接預入した暗号通貨が5BTCである場合、第1の割合情報は50%になる。
不正なアドレス検出装置100は、目標アドレス930が暗号通貨を預入した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を直接預入した暗号通貨の割合を示す第2の割合情報を取得するステップを行う。暗号通貨取引サービスは、暗号通貨取引所を意味してもよい。
例えば、図9を参照すると、目標アドレス930が預入した全暗号通貨は、10BTCである。目標アドレス930が暗号通貨取引サービスのアドレスであるADDR1(911)から直接預入した暗号通貨が2BTCである場合、第2の割合情報は20%になる。
不正なアドレス検出装置100は、目標アドレス930が暗号通貨を預入した暗号通貨全体に対して、不正なアドレスグループに含まれた第1のアドレスから暗号通貨を直接預入した暗号通貨の割合を示す第3の割合情報を取得するステップを行う。
目標アドレス930が不正なアドレスグループに含まれた場合、第3の割合情報には、第1の割合情報が含まれる。よって、不正なアドレス検出装置100は、第3の割合情報を取得する際に、目標アドレス930が不正なアドレスグループに含まれた場合、目標アドレス930が含まれた不正なアドレスグループとは異なる不正なアドレスグループに含まれた第1のアドレスから直接預入された暗号通貨の多寡に基づいて、第3の割合情報として取得する。しかしながら、これに限定されるものではない。目標アドレス930が不正なアドレスグループに含まれた場合、不正なアドレス検出装置100は、目標アドレス930が含まれた不正なアドレスグループ内の第1のアドレスから直接預入された暗号通貨の多寡に基づいて、第3の割合情報を取得する。
不正なアドレス検出装置100は、目標アドレス930が暗号通貨を預入した暗号通貨全体に対して、ミュールアドレスグループに含まれた第2のアドレスから暗号通貨を直接預入した暗号通貨の割合を示す第4の割合情報を取得するステップを行う。
例えば、図9を参照すると、目標アドレス930が預入した全暗号通貨は、10BTCである。目標アドレス930がミュールアドレスグループに含まれた第2のアドレスであるADDR3(913)から直接預入した暗号通貨が3BTCである場合、第4の割合情報は30%になる。
不正なアドレス検出装置100は、第1の割合情報、第2の割合情報、第3の割合情報、及び第4の割合情報を第4の特徴情報として判定するステップを行う。
不正なアドレス検出装置100は、第5の特徴情報を含む特徴情報を取得してもよい。
不正なアドレス検出装置100は、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレス930が暗号通貨を送付した暗号通貨全体に対して、目標アドレス930が含まれたアドレスグループに暗号通貨を直接送付した暗号通貨の割合を示す第5の割合情報を取得するステップを行う。
目標アドレス930が暗号通貨を直接送付したということは、途中で他のアドレスを経由することなく、目標アドレス930が目的地アドレスに直接暗号通貨を送付したことを意味する。また、目標アドレス930がたった1件の取引によって暗号通貨を送付したことを意味する。図9を参照すると、目標アドレス930は、取引C(941)によってADDR5(951)に暗号通貨を送付する。また、目標アドレス930は、取引D(942)によってADDR6(952)に暗号通貨を送付する。さらに、目標アドレス930は、取引D(942)によってADDR7(953)に暗号通貨を送付する。よって、図9において、目標アドレス930が暗号通貨を直接送付した目的地アドレスは、ADDR5(951)、ADDR6(952)、及びADDR7(953)である。
不正なアドレス検出装置100は、目標アドレス930が暗号通貨を送付した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を直接送付した暗号通貨の割合を示す第6の割合情報を取得するステップを行う。
例えば、図9を参照すると、目標アドレス930が暗号通貨を送付した全暗号通貨の多寡は、10BTCである。また、暗号通貨取引サービスのアドレスであるADDR6(952)に直接送付した暗号通貨の多寡は、2BTCである。よって、不正なアドレス検出装置100は、第6の割合情報として20%を取得する。
不正なアドレス検出装置100は、目標アドレス930が暗号通貨を送付した暗号通貨全体に対して、不正なアドレスグループに含まれた第1のアドレスに暗号通貨を直接送付した暗号通貨の割合を示す第7の割合情報を取得するステップを行う。
図9を参照すると、目標アドレス930は、取引D(942)及び取引E(960)によって暗号通貨を不正なアドレスであるADDR9(972)に暗号通貨を送付した。しかしながら、目標アドレス930が不正なアドレスであるADDR9(972)に、2つ以上の取引を用いて暗号通貨を送付したので、不正なアドレス検出装置100は、目標アドレス930が不正なアドレスに直接送付しなかったと判定する。
不正なアドレス検出装置100は、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、ミュールアドレスグループに含まれた第2のアドレスに暗号通貨を直接送付した暗号通貨の割合を示す第8の割合情報を取得するステップを行う。
例えば、図9を参照すると、目標アドレス930が暗号通貨を送付した全暗号通貨の多寡は、10BTCである。また、ミュールアドレスグループに含まれたアドレスであるADDR5(951)に直接送付された暗号通貨の多寡は、2BTCである。よって、不正なアドレス検出装置100は、第8の割合情報として20%を取得する。
不正なアドレス検出装置100は、第5の割合情報、第6の割合情報、第7の割合情報、及び第8の割合情報を第5の特徴情報として判定するステップを行う。
不正なアドレス検出装置100は、第6の特徴情報を含む特徴情報を取得してもよい。
不正なアドレス検出装置100は、良好なアドレスまたは不正なアドレスグループに含まれた目標アドレス930が暗号通貨を送付した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を間接送付した暗号通貨の割合を示す第9の割合情報を取得するステップを行う。
暗号通貨の間接送付・預入とは、出発地アドレスから送付された暗号通貨が2件以上の取引によって目的地アドレスに到達することを意味する。例えば、図9を参照すると、目標アドレス930からADDR8(971)またはADDR9(972)に暗号通貨が送付されるためには、取引D(942)及び取引E(960)を経る。不正なアドレス検出装置100は、目標アドレス930がADDR8(971)またはADDR9(972)に暗号通貨を間接送付したと判定する。
間接送付・預入があったか否かを判定するためには、複数のアドレスの取引履歴を確認する必要があるので、不正なアドレス検出装置100の処理能力が大きく求められる。不正なアドレス検出装置100は、所定の件数の取引においてアドレス同士に暗号通貨の間接送付・預入があったか否かを判定する。不正なアドレス検出装置100が所定の件数の取引において間接送付・預入があったか否かを判定することで、不正なアドレス検出装置100は、間接取引を確認するために処理能力が大幅に消費されることを防止する。例えば、不正なアドレス検出装置100は、目標アドレス930が暗号通貨を送付し、10件以下の取引において暗号通貨取引サービスで間接送付があったか否かを判定する。
例えば、図9を参照すると、目標アドレス930が暗号通貨を送付した全暗号通貨の多寡は、10BTCである。目標アドレス930は、取引D(942)及び取引E(960)を経て、暗号通貨取引サービスのアドレスであるADDR8(971)に2BTCを間接送付する。不正なアドレス検出装置100は、第9の割合情報を20%として判定する。
不正なアドレス検出装置100は、目標アドレスが暗号通貨を送付した暗号通貨全体に対して、不正なアドレスグループに含まれた第1のアドレスに暗号通貨を間接送付した暗号通貨の割合を示す第10の割合情報を取得するステップを行う。
例えば、図9を参照すると、目標アドレス930が暗号通貨を送付した全暗号通貨の多寡は、10BTCである。目標アドレス930は、取引D(942)及び取引E(960)を経て、不正なアドレスグループに含まれた第1のアドレスであるADDR9(972)に4BTCを間接送付する。不正なアドレス検出装置100は、第10の割合情報を40%として判定する。
不正なアドレス検出装置100は、目標アドレスが暗号通貨を預入した暗号通貨全体に対して、ミュールアドレスグループに含まれた第2のアドレスに暗号通貨を間接送付した暗号通貨の割合を示す第11の割合情報を取得するステップを行う。
不正なアドレス検出装置100は、第9の割合情報、第10の割合情報、及び第11の割合情報を第6の特徴情報として判定するステップを行う。
以上のように、不正なアドレス検出装置100は、第1の特徴情報ないし第6の特徴情報を取得する。不正なアドレス検出装置100は、第1の特徴情報ないし第6の特徴情報に基づいて、機械学習モデルを生成するステップ450を行う。
図10は、本開示の一実施形態に係る不正なアドレス検出装置100の動作を示すブロック図である。
不正なアドレス検出装置100は、データベース310及び特徴抽出部340からアドレスのラベル情報1011及び特徴情報1012を取得する。アドレスのラベル情報1011は、「良好」または「不正」で示される。特徴情報1012は、第1の特徴情報ないし第6の特徴情報のうち少なくとも1つである。
不正なアドレス検出装置100は、アドレスのラベル情報1011及び特徴情報1012に基づいて機械学習モデル360を取得する。不正なアドレス検出装置100は、機械学習モデル360をメモリに記憶して後で用いる。また、不正なアドレス検出装置100は、他の不正なアドレス検出装置に機械学習モデル360を送信してもよい。
不正なアドレス検出装置100は、新しい暗号通貨アドレス1050を取得するステップを行う。不正なアドレス検出装置100は、新しい暗号通貨アドレスに関する新しい特徴情報を取得するステップを行う。不正なアドレス検出装置100は、新しい特徴情報を予め取得された機械学習モデル360に適用して、新しい暗号通貨アドレスが不正なアドレスであるか否かを判定するステップを行う。また、不正なアドレス検出装置100は、不正なアドレスであるか否かを示す結果情報1070を出力する。
不正なアドレス検出装置100は、機械学習モデルまたは不正なアドレスグループに基づいて、新しい暗号通貨アドレスのリスクに関する情報を出力する。
例えば、不正なアドレス検出装置100は、新しい暗号通貨アドレスが不正なアドレスグループに含まれている場合、新しい暗号通貨アドレスの不正リスクを5に判定するステップを行う。リスクが5ということは、最も危険であることを意味する。また、リスクは1まで減らすことができ、リスクが1ということは、リスクが低いことを意味する。リスクが0ということは、リスクを判断できないことを示す。本開示では、リスクを0~5で示したが、他の文字または数字で危険であることを示してもよい。
不正なアドレス検出装置100は、新しい暗号通貨アドレスが、不正なアドレスグループに含まれた第1のアドレスと直接暗号通貨を取引した場合、新しい暗号通貨アドレスの不正リスクを4に判定するステップを行う。第1のアドレスと直接暗号通貨を取引したということは、1件の取引で第1のアドレスが新しい暗号通貨アドレスに暗号通貨を送付するか、あるいは第1のアドレスが新しい暗号通貨アドレスから暗号通貨を預入することを意味する。
不正なアドレス検出装置100は、新しい暗号通貨アドレスが、不正なアドレスグループに含まれた第1のアドレスと間接的に暗号通貨を取引した場合、新しい暗号通貨アドレスの不正リスクを3に判定するステップを行う。新しい暗号通貨アドレスが第1のアドレスと間接的に暗号通貨を取引したということは、第1のアドレスが1つ以上のアドレスを経由して新しい暗号通貨アドレスに暗号通貨を送付するか、あるいは第1のアドレスが1つ以上のアドレスを経由して新しい暗号通貨アドレスから暗号通貨を預入することを意味する。
間接取引を確認するためには、様々なアドレスの取引履歴を確認しなければならないため、不正なアドレス検出装置100が間接取引を確認するためには、多くの処理能力が必要となる。不正なアドレス検出装置100は、新しい暗号通貨アドレスが送付または預入した暗号通貨が所定の件数の取引を行っている間、不正なアドレスグループに含まれた第1のアドレスが出現するか否かを確認し、処理能力が大幅に消費されることを防止する。所定の件数は、不正なアドレス検出装置100の処理能力に基づいて決定される。例えば、所定の件数は、10件であってもよい。
不正なアドレス検出装置100は、機械学習モデルに基づいて、新しい暗号通貨アドレスが不正なアドレスであると判定された場合、新しい暗号通貨アドレスの不正リスクを2に判定するステップを行う。機械学習モデルによる不正なアドレス検出装置100の結果は、「不正」または「良好」で示される。不正なアドレス検出装置100は、結果が「不正」である場合、リスクを2に判定する。不正なアドレス検出装置100は、結果が「良好」である場合、次のステップを確認する。
不正なアドレス検出装置100は、新しい暗号通貨アドレスが取引履歴を持たない場合、新しい暗号通貨アドレスの不正リスクを1に判定するステップを行う。
不正なアドレス検出装置100は、リスクが1~5に分類されていない場合、新しい暗号通貨アドレスの不正リスクを0に判定するステップを行う。リスクが0ということは、リスクを判定できないことを示す。
これまで様々な実施形態を挙げて説明した。本発明の属する技術分野における通常の知識を有する者であれば、本発明が、本発明の本質的な特性から逸脱しない範囲で変形された形で実装され得ることを理解できるであろう。よって、開示された実施例は、限定的な観点ではなく、説明的な観点で考慮されるべきである。本発明の範囲は、前述した説明ではなく、特許請求の範囲に示されており、それと同等の範囲内にあるすべての相違点は、本発明に含まれるものと解釈されるべきである。
なお、前述した本発明の実施形態は、コンピュータで実行可能なプログラムとして作成されてもよく、コンピュータで読み取り可能な記録媒体を用いて前記プログラムを動作させる汎用デジタルコンピュータにて実現されてもよい。前記コンピュータで読み取り可能な記録媒体としては、磁気記憶媒体(例えば、ロム、フロッピーディスク、ハードディスクなど)、光学的読取媒体(例えば、シーディーロム、ディブイディなど)のような記憶媒体が含まれる。

Claims (9)

  1. 不正なアドレス検出装置において、機械学習を用いて暗号通貨の不正なアドレスを検出するための方法であって、
    データベースから、不正な取引に用いられたとラベル付けされた不正なアドレス(scam addresses)に関する情報及び通常の取引に用いられたとラベル付けされた良好なアドレス(benign addresses)に関する情報を取得するステップと、
    前記不正なアドレスに関する情報に基づいて、同じユーザが所有していると判定された不正なアドレスグループに関する情報を取得するステップと、
    前記不正なアドレスグループに基づいて、マネーロンダリングに用いられるミュール(mule)アドレスグループに関する情報を取得するステップと、
    前記良好なアドレスに関する情報、前記不正なアドレスグループに関する情報、またはミュールアドレスグループに関する情報のうち少なくとも1つに基づいて、前記良好なアドレス、前記不正なアドレスグループまたはミュールアドレスグループに含まれたそれぞれのアドレスに対応する特徴情報を取得するステップと、
    前記それぞれのアドレスに対応する特徴情報及び前記それぞれのアドレスに対応するラベル情報を機械学習することで、機械学習モデルを生成するステップとを含み、
    前記特徴情報を取得するステップが、
    前記良好なアドレスに関する情報、前記不正なアドレスグループに関する情報、及び前記ミュールアドレスグループに関する情報に基づいて、前記良好なアドレスまたは前記不正なアドレスグループに含まれた目標アドレスの最初の取引から最後の取引までの時間を示す第1の特徴情報を取得するステップを含むことを特徴とする、不正なアドレス検出方法。
  2. 前記ミュールアドレスグループに関する情報を取得するステップが、
    前記不正なアドレスグループに関する情報に基づいて、前記不正なアドレスグループに含まれた第1の不正なアドレスに関連する暗号通貨の流れを取得するステップと、
    前記第1の不正なアドレスから暗号通貨が送付され、前記不正なアドレスグループまたは前記不正なアドレスグループとは異なる不正なアドレスグループに含まれた第2の不正なアドレスに到達するまで経由するアドレスの集まりをミュールアドレスグループとして判定するステップとを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  3. 前記特徴情報を取得するステップが、
    前記良好なアドレスまたは前記不正なアドレスグループに含まれた目標アドレスの暗号通貨の預入から暗号通貨の送付までにかかる時間の平均を示す第2の特徴情報を取得するステップを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  4. 前記特徴情報を取得するステップが、
    前記良好なアドレスまたは前記不正なアドレスグループに含まれた目標アドレスが暗号通貨を預入する第1の取引の数に対して、前記第1の取引で暗号通貨を送付する出発地アドレスの数を示す第1のアドレス数情報を取得するステップと、
    前記第1の取引の数に対して、前記第1の取引で暗号通貨を預入する目的地アドレスの数を示す第2のアドレス数情報を取得するステップと、
    前記目標アドレスが暗号通貨を送付する第2の取引の数に対して、前記第2の取引で暗号通貨を送付する出発地アドレスの数を示す第3のアドレス数情報を取得するステップと、
    前記第2の取引の数に対して、前記第2の取引で暗号通貨を預入する目的地アドレスの数を示す第4のアドレス数情報を取得するステップと、
    前記第1のアドレス数情報、前記第2のアドレス数情報、前記第3のアドレス数情報、及び前記第4のアドレス数情報を第3の特徴情報として判定するステップとを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  5. 前記特徴情報を取得するステップが、
    前記良好なアドレスまたは前記不正なアドレスグループに含まれた目標アドレスが暗号通貨を預入した暗号通貨全体に対して、前記目標アドレスが含まれたアドレスグループから暗号通貨を直接預入した暗号通貨の割合を示す第1の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を預入した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を直接預入した暗号通貨の割合を示す第2の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を預入した暗号通貨全体に対して、前記不正なアドレスグループに含まれた第1のアドレスから暗号通貨を直接預入した暗号通貨の割合を示す第3の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を預入した暗号通貨全体に対して、前記ミュールアドレスグループに含まれた第2のアドレスから暗号通貨を直接預入した暗号通貨の割合を示す第4の割合情報を取得するステップと、
    前記第1の割合情報、前記第2の割合情報、前記第3の割合情報、及び前記第4の割合情報を第4の特徴情報として判定するステップとを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  6. 前記特徴情報を取得するステップが、
    前記良好なアドレスまたは前記不正なアドレスグループに含まれた目標アドレスが暗号通貨を送付した暗号通貨全体に対して、前記目標アドレスが含まれたアドレスグループに暗号通貨を直接送付した暗号通貨の割合を示す第5の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を送付した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を直接送付した暗号通貨の割合を示す第6の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を送付した暗号通貨全体に対して、前記不正なアドレスグループに含まれた第1のアドレスに暗号通貨を直接送付した暗号通貨の割合を示す第7の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を預入した暗号通貨全体に対して、前記ミュールアドレスグループに含まれた第2のアドレスに暗号通貨を直接送付した暗号通貨の割合を示す第8の割合情報を取得するステップと、
    前記第5の割合情報、前記第6の割合情報、前記第7の割合情報、及び前記第8の割合情報を第5の特徴情報として判定するステップとを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  7. 前記特徴情報を取得するステップが、
    前記良好なアドレスまたは前記不正なアドレスグループに含まれた目標アドレスが暗号通貨を送付した暗号通貨全体に対して、暗号通貨取引サービスで暗号通貨を間接送付した暗号通貨の割合を示す第9の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を送付した暗号通貨全体に対して、前記不正なアドレスグループに含まれた第1のアドレスに暗号通貨を間接送付した暗号通貨の割合を示す第10の割合情報を取得するステップと、
    前記目標アドレスが暗号通貨を預入した暗号通貨全体に対して、前記ミュールアドレスグループに含まれた第2のアドレスに暗号通貨を間接送付した暗号通貨の割合を示す第11の割合情報を取得するステップと、
    前記第9の割合情報、前記第10の割合情報、及び前記第11の割合情報を第6の特徴情報として判定するステップとを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  8. 新しい暗号通貨アドレスを取得するステップと、
    前記新しい暗号通貨アドレスに関する新しい特徴情報を取得するステップと、
    前記新しい特徴情報を前記機械学習モデルに適用して、前記新しい暗号通貨アドレスが、不正なアドレスであるか否かを判定するステップとを含むことを特徴とする、請求項1に記載の不正なアドレス検出方法。
  9. 前記新しい暗号通貨アドレスが、前記不正なアドレスグループに含まれた場合、前記新しい暗号通貨アドレスの不正リスクを5に判定するステップと、
    前記新しい暗号通貨アドレスが、前記不正なアドレスグループに含まれた第1のアドレスと直接暗号通貨を取引した場合、新しい暗号通貨アドレスの不正リスクを4に判定するステップと、
    前記新しい暗号通貨アドレスが、前記不正なアドレスグループに含まれた第1のアドレスと間接的に暗号通貨を取引した場合、新しい暗号通貨アドレスの不正リスクを3に判定するステップと、
    前記機械学習モデルに基づいて、前記新しい暗号通貨アドレスが、不正なアドレスであると判定された場合、新しい暗号通貨アドレスの不正リスクを2に判定するステップと、
    前記新しい暗号通貨アドレスに取引履歴がない場合、新しい暗号通貨アドレスの不正リスクを1に判定するステップと、
    リスクが1から5に分類されていない場合、新しい暗号通貨アドレスの不正リスクを0に判定するステップとを含むことを特徴とする、請求項8に記載の不正なアドレス検出方法。
JP2022512810A 2019-09-05 2020-01-30 暗号通貨取引の分析方法及び装置 Active JP7309242B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2019-0110106 2019-09-05
KR1020190110106A KR102058683B1 (ko) 2019-09-05 2019-09-05 암호화폐 거래 분석 방법 및 장치
PCT/KR2020/001386 WO2021045331A1 (ko) 2019-09-05 2020-01-30 암호화폐 거래 분석 방법 및 장치

Publications (2)

Publication Number Publication Date
JP2022546952A true JP2022546952A (ja) 2022-11-10
JP7309242B2 JP7309242B2 (ja) 2023-07-18

Family

ID=69051944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022512810A Active JP7309242B2 (ja) 2019-09-05 2020-01-30 暗号通貨取引の分析方法及び装置

Country Status (5)

Country Link
US (1) US20220343330A1 (ja)
JP (1) JP7309242B2 (ja)
KR (1) KR102058683B1 (ja)
CN (1) CN114365169A (ja)
WO (1) WO2021045331A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102058683B1 (ko) * 2019-09-05 2019-12-23 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치
KR20210094439A (ko) 2020-01-21 2021-07-29 고려대학교 산학협력단 암호화폐 지갑 주소의 클러스터링 기법
KR102367223B1 (ko) * 2020-01-28 2022-02-24 (주)인프라케이 가상자산 부정 거래 탐지 시스템 및 방법
KR102113347B1 (ko) * 2020-02-20 2020-05-21 팀블랙버드 주식회사 인공지능을 이용한 암호화폐 계좌 분류 방법, 장치 및 컴퓨터프로그램
KR102112798B1 (ko) * 2020-02-28 2020-05-19 팀블랙버드 주식회사 인공지능을 이용한 암호화폐 계좌의 클러스터링 방법, 장치 및 컴퓨터프로그램
KR102259838B1 (ko) * 2020-09-21 2021-06-02 한성대학교 산학협력단 암호화폐 블랙리스트 구축 장치 및 방법
KR102440878B1 (ko) * 2021-12-09 2022-09-05 한국인터넷진흥원 가상 자산 부정 거래 탐지를 위한 탐지 모델의 학습 방법, 탐지 모델을 이용한 가상 자산 부정 거래의 탐지 방법 및 이들을 수행하는 장치 및 컴퓨터 프로그램
KR102616570B1 (ko) * 2023-05-24 2023-12-21 주식회사 보난자팩토리 고위험 가상자산 지갑주소 관리장치 및 이를 이용한 고위험 지갑주소 조회 서비스 제공방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005508530A (ja) * 2000-11-30 2005-03-31 ユニシス コーポレイシヨン 金融取引不正行為に対する対策
US20160048937A1 (en) * 2013-12-20 2016-02-18 Palantir Technologies Inc. Automated database analysis to detect malfeasance
US20180365696A1 (en) * 2017-06-19 2018-12-20 Nec Laboratories America, Inc. Financial fraud detection using user group behavior analysis

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101345740B1 (ko) * 2012-02-22 2013-12-30 박원형 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템
US20200311790A1 (en) * 2013-04-11 2020-10-01 Brandshield Ltd. System, Device, and Method of Protected Electronic Commerce and Electronic Financial Transactions
US9672499B2 (en) * 2014-04-02 2017-06-06 Modernity Financial Holdings, Ltd. Data analytic and security mechanism for implementing a hot wallet service
US20180240107A1 (en) * 2015-03-27 2018-08-23 Black Gold Coin, Inc. Systems and methods for personal identification and verification
KR101908665B1 (ko) * 2016-11-16 2018-10-16 (주)아이와즈 기계학습을 활용한 osp 사이트 생애주기 감지 인공지능 시스템
KR101852107B1 (ko) * 2017-11-22 2018-04-25 (주)유니스소프트 다크웹 범죄정보 분석 시스템 및 그 방법
KR101966366B1 (ko) * 2018-10-22 2019-08-13 (주)유니스소프트 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법
US20200160344A1 (en) * 2018-11-20 2020-05-21 CipherTrace, Inc. Blockchain Transaction Analysis and Anti-Money Laundering Compliance Systems and Methods
US20200184479A1 (en) * 2018-12-05 2020-06-11 Capital One Services, Llc Systems for managing cryptocurrency transactions
US20220101326A1 (en) * 2019-01-18 2022-03-31 Uppsala Pte. Ltd. Apparatus and method for cybersecurity
US11809896B2 (en) * 2019-05-24 2023-11-07 International Business Machines Corporation Anomalous transaction commitment prevention for database
US11481499B2 (en) * 2019-08-05 2022-10-25 Visa International Service Association Blockchain security system
KR102058683B1 (ko) * 2019-09-05 2019-12-23 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005508530A (ja) * 2000-11-30 2005-03-31 ユニシス コーポレイシヨン 金融取引不正行為に対する対策
US20160048937A1 (en) * 2013-12-20 2016-02-18 Palantir Technologies Inc. Automated database analysis to detect malfeasance
US20180365696A1 (en) * 2017-06-19 2018-12-20 Nec Laboratories America, Inc. Financial fraud detection using user group behavior analysis

Also Published As

Publication number Publication date
CN114365169A (zh) 2022-04-15
WO2021045331A1 (ko) 2021-03-11
JP7309242B2 (ja) 2023-07-18
US20220343330A1 (en) 2022-10-27
KR102058683B1 (ko) 2019-12-23

Similar Documents

Publication Publication Date Title
JP7309242B2 (ja) 暗号通貨取引の分析方法及び装置
US11830004B2 (en) Blockchain transaction safety
US20220245626A1 (en) Computer-implemented system and method for generating and extracting user related data stored on a blockchain
US20230177526A1 (en) Electronic payment network security
CN106506454B (zh) 欺诈业务识别方法及装置
US20140067656A1 (en) Method and system for fraud risk estimation based on social media information
US20150095247A1 (en) Classifying Fraud on Event Management Systems
CN104867055A (zh) 一种金融网络可疑资金追踪与识别方法
US20150317749A1 (en) System and Method for Characterizing Financial Messages
CN112926699A (zh) 异常对象识别方法、装置、设备及存储介质
US20230298031A1 (en) Systems and methods for identity graph based fraud detection
JP7372707B2 (ja) 暗号通貨取引を分析するためのデータ取得方法及び装置
CN112862298A (zh) 一种针对用户画像的信用评估方法
KR102259838B1 (ko) 암호화폐 블랙리스트 구축 장치 및 방법
US20140279704A1 (en) Mapping consumer ownership of financial assets to geographic localities and computer-implemented methods and computer systems thereof
CN116307671A (zh) 风险预警方法、装置、计算机设备、存储介质
CN112184334A (zh) 用于确定问题用户的方法、装置、设备和介质
JP5922089B2 (ja) 為替明細情報を利用した与信管理システムおよび方法
Xiang et al. Babd: A bitcoin address behavior dataset for pattern analysis
KR102199587B1 (ko) 암호화폐 거래 분석 방법 및 장치
CN109871514B (zh) 一种数据处理方法、装置及存储介质
CN113592505B (zh) 基于组合构建实现可疑交易场景模型识别处理的系统
Adam et al. Anomaly Detection on Distributed Ledger Using Unsupervised Machine Learning
CN115375480A (zh) 基于图神经网络的异常虚拟币钱包地址检测方法
CN114943479A (zh) 业务事件的风险识别方法、装置、设备及计算机可读介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230628

R150 Certificate of patent or registration of utility model

Ref document number: 7309242

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150