WO2022121145A1

WO2022121145A1 - 一种基于图分类的以太坊网络钓鱼诈骗检测方法及装置

Info

Publication number: WO2022121145A1
Application number: PCT/CN2021/081726
Authority: WO
Inventors: 吴嘉婧; 袁子豪; 郑子彬
Original assignee: 中山大学
Priority date: 2020-12-07
Filing date: 2021-03-19
Publication date: 2022-06-16
Also published as: CN112600810A; CN112600810B

Abstract

本申请公开了一种基于图分类的以太坊网络钓鱼诈骗检测方法及装置，方法包括: 从以太坊网络中提取目标节点和预置阶邻居节点，预置阶邻居节点包括一阶邻居节点和二阶邻居节点; 根据一阶邻居节点和二阶邻居节点构建以目标节点为中心节点的二阶交易子图网络; 根据二阶交易子图网络中各节点的相关交易信息数据对二阶交易子图网络进行提炼处理，得到目标交易子图网络; 采用预置图嵌入算法提取目标交易子图网络中的特征，得到网络表示向量; 将网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。本申请能够解决现有技术的手工特征局限性较为明显，且处理过程复杂，导致时间和运算成本较高的技术问题。

Description

一种基于图分类的以太坊网络钓鱼诈骗检测方法及装置

本申请要求于2020年12月07日提交中国专利局、申请号为202011417306.9、发明名称为“一种基于图分类的以太坊网络钓鱼诈骗检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及以太坊网络安全领域，更具体地说，尤其涉及一种基于图分类的以太坊网络钓鱼诈骗检测方法及装置。

背景技术

区块链是一个分布式账簿技术，能够在非互信环境中保证实施节点之间的可信中介交易。区块链也可以被描述为在点对点网络中基于共识机制所维护的一个可信分布式数据库。区块链技术在去中心化、不可伪造性、匿名性、开放性等方面都具有突出优势，也因为被认为是下一代颠覆性核心技术，被广泛应用于各个领域之中，而其中最重要也是最知名的应用便是数字加密货币。在区块链技术的支持下，比特币、以太坊等区块链平台作为新兴的加密货币交易平台在世界范围内获得了极大的发展。

以太坊是当今世界上第二大加密货币交易平台，同时也是能够支持智能合约的最大区块链平台。以太坊支持用户通过智能合约的形式进行图灵完备语言编程，极大地丰富了加密货币贸易的层次和场景，进而衍生出区块链技术在经济金融领域的多项应用。但与此同时，由于区块链所伴随的安全监管问题，以太坊也逐渐成为了网络犯罪者的主要目标，包括钓鱼诈骗、庞氏骗局等诈骗行为频频发生，严重影响了以太坊上的区块链金融生态。

随着虚拟贸易的蓬勃发展，人们越发倾向于在线进行货币以及物品服务之间的交易，这给予了网络钓鱼诈骗非常多的可乘之机。钓鱼诈骗罪犯往往通过非法伪造官方网站以及电子邮件骗取用户的隐私信息，诸如密码、住址以及信用卡详细信息等。对于风险监管仍然不够完备的区块链生态系统来说，钓鱼诈骗无疑对其安全性构成了极大的威胁。如今，钓鱼诈骗已经逐步成为了以太坊中最被广泛使用的诈骗方式之一，这也迫使我们需要对该问题投入更多关注，找到预防和检测钓鱼诈骗行为的有效方法。

目前，针对以太坊网络的钓鱼诈骗检测技术中，多是结合领域认知以及统计学分析进行手动特征设计，然而这些手工特征缺乏自适应的学习训练过程，难以保证在不同情境中的适用性；另外，以太坊交易网络数据集非常庞大，从其中获取交易相关信息数据需要构建并处理大体量交易网络，这无疑是一个巨大的挑战，同时需要付出极大的时间及运算成本。

发明内容

本申请提供了一种基于图分类的以太坊网络钓鱼诈骗检测方法及装置，用于解决现有技术的手工特征局限性较为明显，且处理过程复杂，导致时间和运算成本较高的技术问题。

有鉴于此，本申请第一方面提供了一种基于图分类的以太坊网络钓鱼诈骗检测方法，包括：

从所述以太坊网络中提取目标节点和预置阶邻居节点，所述目标节点包括带标记的钓鱼节点和非钓鱼节点，所述预置阶邻居节点包括一阶邻居节点和二阶邻居节点；

根据所述一阶邻居节点和所述二阶邻居节点构建以所述目标节点为中心节点的二阶交易子图网络；

根据所述二阶交易子图网络中各节点的相关交易信息数据对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络；

采用预置图嵌入算法提取所述目标交易子图网络中的特征，得到网络表示向量；

将所述网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。

优选地，所述从所述以太坊网络中提取目标节点和预置阶邻居节点，包括：

在以太坊网络中获取历史交易记录，所述历史交易记录包括节点账户地址、历史交易金额、历史交易时间戳、历史交易流方向和历史交易次数；

从所述历史交易记录中提取所述目标节点和所述预置阶邻居节点。

优选地，所述根据所述一阶邻居节点和所述二阶邻居节点构建以所述目标节点为中心节点的二阶交易子图网络，包括：

将所述目标节点作为中心节点，并根据所述中心节点和所述一阶邻居节点构建一阶网络连边；

根据所述一阶邻居节点和所述二阶邻居节点构建二阶网络连边；

将所述历史交易记录存储至各节点中，得到所述二阶交易子图网络。

优选地，所述根据所述二阶交易子图网络中各节点的相关交易信息数据对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络，包括：

提取所述中心节点对应的所述二阶交易子图网络中所有节点的相关交易信息数据，所述相关交易信息数据包括预置交易金额、预置交易时间戳和预置交易流方向；

对所述相关交易信息数据进行分析处理，获取各节点与所述中心节点之间的关联强度值；

根据所述关联强度值对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络，所述提炼处理包括再采样处理和再标签处理。

优选地，所述对所述相关交易信息数据进行分析处理，获取各节点与所述中心节点之间的关联强度值，之后还包括：

采用预置激活函数对所述关联强度值进行归一化处理。

优选地，所述再采样处理的过程为：

根据所述关联强度值删除所述二阶交易子图网络中的冗余节点。

优选地，所述再标签处理的过程为：

根据历史标签和所述关联强度值对各节点之间的行为差异进行分析处理，并根据分析结果增加细化节点标签。

本申请第二方面提供了一种基于图分类的以太坊网络钓鱼诈骗检测装置，包括：

提取模块，用于从所述以太坊网络中提取目标节点和预置阶邻居节点，所述目标节点包括带标记的钓鱼节点和非钓鱼节点，所述预置阶邻居节点包括一阶邻居节点和二阶邻居节点；

构建模块，用于根据所述一阶邻居节点和所述二阶邻居节点构建以所述目标节点为中心节点的二阶交易子图网络；

提炼模块，用于根据所述二阶交易子图网络中各节点的相关交易信息数据对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络；

学习模块，用于采用预置图嵌入算法提取所述目标交易子图网络中的特征，得到网络表示向量；

分类模块，用于将所述网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。

优选地，所述提取模块，具体用于：

优选地，所述构建模块，具体用于：

从以上技术方案可以看出，本申请实施例具有以下优点：

本申请中，提供了一种基于图分类的以太坊网络钓鱼诈骗检测方法，包括：从以太坊网络中提取目标节点和预置阶邻居节点，目标节点包括带标记的钓鱼节点和非钓鱼节点，预置阶邻居节点包括一阶邻居节点和二阶邻居节点；根据一阶邻居节点和二阶邻居节点构建以目标节点为中心节点的二阶交易子图网络；根据二阶交易子图网络中各节点的相关交易信息数据对二阶交易子图网络进行提炼处理，得到目标交易子图网络；采用预置图嵌入算法提取目标交易子图网络中的特征，得到网络表示向量；将网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。

本申请提供的基于图分类的以太坊网络钓鱼诈骗检测方法，从不同类别节点往往对应着不同的行为模式，进而会反映在关联的交易子图网络中这一理论出发，在网络层面对节点进行描述，然后再对子图网络进行特征表达，从而保证了特征描述的准确性，针对不同的情况都具有良好适用性；通过对较轻量的二阶交易子图网络进行提炼处理不仅能够提升网络的表达能力，还可以减少数据处理时间，节省运算成本。因此，本申请能够解决现有技术的手工特征局限性较为明显，且处理过程复杂，导致时间和运算成本较高的技术问题。

附图说明

图1为本申请实施例提供的一种基于图分类的以太坊网络钓鱼诈骗检测方法的一个流程示意图；

图2为本申请实施例提供的一种基于图分类的以太坊网络钓鱼诈骗检测方法的另一个流程示意图；

图3为本申请实施例提供的一种基于图分类的以太坊网络钓鱼诈骗检测装置的结构示意图；

图4为本申请实施例提供的基于图分类的以太坊网络钓鱼诈骗检测总体流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

术语介绍：

1.区块链：根据区块头哈希值前后连接组成的链表形式的数据结构。每个区块由一段时间内产生的交易组成，由获得记账权的计算机节点打包，并被各个计算机节点独立验证。

2.交易：即区块链上状态转换的最小单位，由发送方签名发起，将特定的数字资产进行转移、或进行智能合约调用等影响区块链状态的操作。

3.钓鱼诈骗：通过非法伪造官方渠道信息骗取用户交易信任并从中获利的诈骗行为。

4.图分类方法：以图为分析处理目标，通过已知的带有标签的图集合进行模型的学习训练，以进行对未被分类图的标签预测。

5.图嵌入学习：把节点、边或整个图嵌入到低维向量空间中，并且保留网络的拓扑结构，节点属性和其他信息。

对以太坊网络场景下的钓鱼诈骗进行检测过程中，基于区块链的特性会存在两个显著特点：首先，以太坊网络的交易数据全部都被存放在公共区块链上，涉及的数据都是公开可访问的，因此，本申请实施例可以实现基于完整可观察数据分析进行的钓鱼诈骗检测。其次，以太坊网络的钓鱼诈骗不同于传统方式中通过伪造网站以及电子邮件进行欺诈，而是利用了加密货币交易平台所带来的便捷性衍生出更多样的形式。这使得钓鱼诈骗行为检测的重心要从对于欺诈伪造信息的辨别检举，转移到对于用户交易行为数据的分析上。一般把以太坊账户之间的交易历史建模成一个联通的有向网络，其中，节点表示一个以太坊账户地址，两个节点中间的连边则表示该两个以太坊账户之间发生的交易，最终可以从该以太坊网络中提取出目标研究节点的不同网络特征，并利用机器学习的分类算法进行节点类别的检测，识别出钓鱼诈骗节点，即诈骗账户。

为了便于理解，请参阅图1，本申请提供的一种基于图分类的以太坊网络钓鱼诈骗检测方法的实施例一，包括：

步骤101、从以太坊网络中提取目标节点和预置阶邻居节点，目标节点包括带标记的钓鱼节点和非钓鱼节点，预置阶邻居节点包括一阶邻居节点和二阶邻居节点。

需要说明的是，以太坊网络中的一个节点即为一个以太坊账户，拥有一个对应的账户地址；一阶邻居节点是与目标节点存在直接交易记录的相关节点，二阶邻居节点是指与一阶邻居节点存在直接交易记录的相关节点，关联的节点与节点之间存在历史交易记录信息，通过历史交易记录信息能够分析节点之间的行为差异，从而反映出不同的行为特征。

步骤102、根据一阶邻居节点和二阶邻居节点构建以目标节点为中心节点的二阶交易子图网络。

需要说明的是，每一个目标节点都可以获取一个对应的二阶交易子图网络，且二阶交易子图网络的中心节点即为该目标节点，构建子图网络就是将关联节点进行连边处理，得到拓扑网络结构的过程。通过子图网络代表目标节点作为后续的行为模式分析对象，能够更加准确的反映出目标节点的行为特征。

步骤103、根据二阶交易子图网络中各节点的相关交易信息数据对二阶交易子图网络进行提炼处理，得到目标交易子图网络。

需要说明的是，相关交易信息数据主要包括的是交易金额，交易时间戳和交易流方向等因素，同一个二阶交易子图网络中各节点之间的交易情况能够较真实的描述节点与节点之间的关联强弱，因此，可以根据这一特性对二阶交易子图网络进行提炼，得到的目标交易子图网络更加精简且具有针对性，保留了具有强相关的节点，去除了弱相关节点以及连边，从而较大程度的节省了运算时间成本。

步骤104、采用预置图嵌入算法提取目标交易子图网络中的特征，得到网络表示向量。

需要说明的是，图嵌入算法(Graph Embedding)旨在学习网络中节点的低维度潜在表示，所学习到的特征表示可以用作基于图的各种任务的特征；在本实施例中就是将节点，边，或者整个图嵌入到低维向量空间中，保留网络的拓扑结构、节点属性等信息；其中，嵌入也就是压缩的意思；图嵌入是将属性图转换为向量或向量集的过程，嵌入应该捕获图的拓扑结构、顶点到顶点的关系以及关于图、子图和顶点的其他相关信息。

步骤105、将网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。

需要说明的是，预置分类器可以是SVM模型，二分类的结果为目标钓鱼节点和非钓鱼节点。传统交易网络节点分析中需要结合节点所在的连通网络，通过网络游走以及特征工程方法挖掘出节点所对应的充足网络特征，而由于以太坊中的历史交易记录繁杂且冗余信息较多，构建一个完备可利用的相关连通网络的前提就是需要进行大量的数据获取以及清洗工作。在本实施例中，对于每个需要检测的目标节点，则仅爬取其在以太坊网络中的周边交易记录信息，用一个较轻量的二阶交易子图网络表达目标节点的交易行为模式，并通过后续在子图网络上有方向性的数据分析处理获取辨别特征，在保证所需获取数据量为二阶可控的同时，结合图嵌入方法完成代表交易行为模式的网络结构向量表达也为数据处理过程带来了极大的便利。

本申请实施例提供的基于图分类的以太坊网络钓鱼诈骗检测方法，从不同类别节点往往对应着不同的行为模式，进而会反映在关联的交易子图网络中这一理论出发，在网络层面对节点进行描述，然后再对子图网络进行特征表达，从而保证了特征描述的准确性，针对不同的情况都具有良好适用性；通过对较轻量的二阶交易子图网络进行提炼处理不仅能够提升网络的表达能力，还可以减少数据处理时间，节省运算成本。因此，本申请实施例能够解决现有技术的手工特征局限性较为明显，且处理过程复杂，导致时间和运算成本较高的技术问题。

为了便于理解，请参阅图2，本申请提供了一种基于图分类的以太坊网络钓鱼诈骗检测方法的实施例二，包括：

步骤201、在以太坊网络中获取历史交易记录，历史交易记录包括节点账户地址、历史交易金额、历史交易时间戳、历史交易流方向和历史交易次数。

步骤202、从历史交易记录中提取目标节点和预置阶邻居节点。

需要说明的是，历史交易记录的信息较多，主要描述交易过程中的动态变化情况。目标节点包括带标记的钓鱼节点和非钓鱼节点，预置阶邻居节点包括一阶邻居节点和二阶邻居节点。一阶邻居节点为与目标节点有直接交易记录的相关节点；二阶邻居节点为与一阶邻居节点有直接交易记录的相关节点。

步骤203、将目标节点作为中心节点，并根据中心节点和一阶邻居节点构建一阶网络连边。

步骤204、根据一阶邻居节点和二阶邻居节点构建二阶网络连边。

步骤205、将历史交易记录存储至各节点中，得到二阶交易子图网络。

需要说明的是，以目标节点作为二阶交易子图网络的中心节点，将与目标节点账户存在直接交易的节点账户作为一阶邻居节点，然后将中心节点与一阶邻居节点建立连接，得到一阶网络连边；同理，一阶邻居节点同样存在与之有直接交易的账户，将这些节点账户作为二阶邻居节点，最后将一阶邻居节点与二阶邻居节点建立连边，就可以得到二阶网络连边。历史交易记录中的一阶节点账户和二阶节点账户的历史交易信息都需要作为节点属性保存在节点中，即将历史交易记录保存在二阶交易子图网络中。

步骤206、提取中心节点对应的二阶交易子图网络中所有节点的相关交易信息数据，相关交易信息数据包括预置交易金额、预置交易时间戳和预置交易流方向。

步骤207、对相关交易信息数据进行分析处理，获取各节点与中心节点之间的关联强度值。

步骤208、采用预置激活函数对关联强度值进行归一化处理。

步骤209、根据关联强度值对二阶交易子图网络进行提炼处理，得到目标交易子图网络，提炼处理包括再采样处理和再标签处理。

需要说明的是，不同的相关交易数据有不同的关联强度的分析处理方式，关联强度描述的是节点与节点之间的相关性，就二阶交易子图网络而言，主要是周边节点与中心节点之间的相关性。在相关交易信息数据为预置交易金额时，可以基于交易金额计算各个节点与中心节点之间的关联强度数值，其基本原理是：在交易网络中，节点之间发生的交易所包含的交易金额越大，它们在交易网络中的关系越紧密，所以节点相关交易金额总量越大，其在交易子图网络中的交易金额相关的关联强度值也越大。针对每个节点，依据历史交易记录获取交易金额总量，则对应的交易金额关联强度值为：

其中，x为二阶交易子图网络中的某一交易邻居节点，A _x为节点x相关的交易金额，i为二阶交易子图网络的交易邻居节点集合，A _i为节点集合中任意节点相关的交易金额。

在相关交易信息数据为预置交易时间戳时，可以基于交易时间戳计算各个节点与中心节点之间的关联强度值；在交易网络中，节点的交易行为越活跃，它们在交易网络中的影响就越大，所以节点相关的单位交易时间内进行的交易次数越多，在交易子图网络中的交易时间关联强度值越高。对于每个节点，依据历史交易记录获取其最初以及最新交易时间戳，相减得到交易时间区间长度，并统计器件发生交易的次数，那么对应的交易时间戳关联强度值为：

其中，x为二阶交易子图网络中的某一交易邻居节点，T _x为节点x相关的交易次数与交易时间区间长度的比值，i为二阶交易子图网络的任意交易邻居节点集合，T _i为节点集合中任意节点相关的交易次数与交易时间区间长度的比值。

在相关交易信息数据为交易流方向时，可以基于交易流方向得到各个节点的交易流点标签；在交易网络中，交易方向是一项重要信息，可以表示出网络中的货币流动概况。对于交易网络中的一个节点来说，以交易方向指向其本身的边相连的节点被称为其聚拢交易节点，而以指向相连节点的边相连的节点被称为其分散交易节点。对于不同类别的节点，交易流特征不同，对于钱包账户，会有较为平均分布的聚拢交易节点以及分散交易节点；而对于钓鱼诈骗账户，则会有大额数量的聚拢交易节点以及极少的分散交易节点，这主要与其交易行为模式相关。对于交易子图中的每个节点，依据历史交易记录中的交易方向信息，进行聚拢交易节点或者分散交易节点的初步标签划分。

需要说明的是，归一化过程为：对于节点相关的关联强度数值，把网络中对应信息强度数值最大值定为标准分值1，利用预置激活函数Sigmoid对其余数值进行归一化处理：

其中，x即为不同的关联强度值。

需要说明的是，具体的根据关联强度值对二阶交易子图网络进行提炼处理的过程是一种子图网络优化的过程，关联强度值在提炼处理过程中的作用方式并不一样，具体的，再采样处理的过程为：根据关联强度值删除二阶交易子图网络中的冗余节点。实质就是删减与目标节点交易关联关系弱的节点以及相关连边，精简交易子图网络中的冗余数据，减少后续运算开销，保留有效的拓扑结构信息。对于二阶交易子图网络中的某一节点，通过计算公式综合其交易金额关联值以及交易时间关联值，得到整合关联值：

S_Final＝S_Amount ^0.5*S_Time ^0.5；

若是该节点的整合关联值低于0.1，则该节点被列入对应交易子图网络的删减节点集合中，遍历整个交易子图网络中所有的节点，对删减节点包含的节点与其相关连边在交易子图中进行删除处理，从而完成再采样处理过程。

再标签处理的过程为：根据历史标签和关联强度值对各节点之间的行为差异进行分析处理，并根据分析结果增加细化节点标签。该过程实质是通过标记体现相关交易节点之间的行为差异，进一步刻画以目标节点为中心的周边交易网络画像，强化网络特征信息。对于关联强度值，均可以设置阈值将节点进行更加精细的划分，组合得到多种不同类型的标签。举例说明，以0.5作为分隔值，把节点以交易金额关联值分类为大额交易节点(大于0.5)、小额交易节点(小于0.5)；以交易时间关联值分类为高频交易节点(大于0.5)、低频交易节点(小于0.5)。按照此组合可以得到四类节点标签，1-大额高频交易节点、2-大额低频交易节点、3-小额高频交易节点、4-小额低频交易节点。对于交易流方向信息，根据节点交易相对于中心节点的流向，又可以把节点分类为聚拢交易节点、分散交易节点。同理可得，最终组合得到八类节点标签。对于再采样后交易子图中的每个节点，基于其交易关联数值以及交易流方向信息，依据上述规则对其进行类别的划分，并为其添加相应节点标签，完成再标签过程。

步骤210、采用预置图嵌入算法提取目标交易子图网络中的特征，得到网络表示向量。

需要说明的是，本实施例中采用Graph2Vec模型得到各个目标交易子图网络的网络表示向量。Graph2Vec模型基于威斯费勒-莱曼(Weisfeiler-Lehman)再标签策略把单个目标交易子图网络提取成一系列更小的子图序列进行表示。威斯费勒-莱曼(Weisfeiler-Lehman)的再标签策略中，对于目标子图的某个节点，基于其所有邻居节点标签生成以一定规则排序的标签复合集序列，并且随后在多轮迭代中整合整个子图信息的同时完成对各个序列的更新，最后子图中的每个节点均可以得到其所对应的表示点标签序列。即对于目标交易子图网络G，可以生成得到表示子图序列集合c(G)＝{sg ₁,sg ₂,...,sg _n}，采用skip-gram模型对每个交易子图对应的子图序列进行处理，具体是通过最大化有着相似表示子图序列的交易子图在向量空间的距离，以把图结构映射到低维向量空间为目标建立目标函数：

f:G→R ^|V|×d；

其中，V为模型输入的目标节点，|V|为目标节点数量，d为网络表示向量维度，R ^|V|×d为目标节点相关的网络表示向量构成的向量空间。对于第i个目标节点的目标交易子图G _i，其得到的子图序列集合中的序列长度为l，sg _j为子图序列中的第j个表示子图，其概率为：

其中，V _OC为全部目标交易子图产生的所有表示子图集合，sg为集合中某一个表示子图。然后最大化处理一下似然估计函数：

最后采用随机梯度下降法对上式进行优化，得到网络表示向量。

步骤211、将网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。

需要说明的是，请参阅图4，图4即为本实施例基于图分类的以太坊网络钓鱼诈骗检测总体流程示意图。通过SVM分类模型输出判断对应目标节点是否为钓鱼诈骗节点。

为了便于理解，请参阅图3，本申请还提供了一种基于图分类的以太坊网络钓鱼诈骗检测装置的实施例，包括：

提取模块301，用于从以太坊网络中提取目标节点和预置阶邻居节点，目标节点包括带标记的钓鱼节点和非钓鱼节点，预置阶邻居节点包括一阶邻居节点和二阶邻居节点；

构建模块302，用于根据一阶邻居节点和二阶邻居节点构建以目标节点为中心节点的二阶交易子图网络；

提炼模块303，用于根据二阶交易子图网络中各节点的相关交易信息数据对二阶交易子图网络进行提炼处理，得到目标交易子图网络；

学习模块304，用于采用预置图嵌入算法提取目标交易子图网络中的特征，得到网络表示向量；

分类模块305，用于将网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。

作为更进一步地，提取模块301，具体用于：

在以太坊网络中获取历史交易记录，历史交易记录包括节点账户地址、历史交易金额、历史交易时间戳、历史交易流方向和历史交易次数；

从历史交易记录中提取目标节点和预置阶邻居节点。

作为更进一步地，构建模块302，具体用于：

将目标节点作为中心节点，并根据中心节点和一阶邻居节点构建一阶网络连边；

根据一阶邻居节点和二阶邻居节点构建二阶网络连边；

将历史交易记录存储至各节点中，得到二阶交易子图网络。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以通过一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称：Read-Only Memory，英文缩写：ROM)、随机存取存储器(英文全称：RandomAccess Memory，英文缩写：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

一种基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，包括：

从所述以太坊网络中提取目标节点和预置阶邻居节点，所述目标节点包括带标记的钓鱼节点和非钓鱼节点，所述预置阶邻居节点包括一阶邻居节点和二阶邻居节点；

根据所述一阶邻居节点和所述二阶邻居节点构建以所述目标节点为中心节点的二阶交易子图网络；

根据所述二阶交易子图网络中各节点的相关交易信息数据对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络；

采用预置图嵌入算法提取所述目标交易子图网络中的特征，得到网络表示向量；

将所述网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。
根据权利要求1所述的基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，所述从所述以太坊网络中提取目标节点和预置阶邻居节点，包括：

在以太坊网络中获取历史交易记录，所述历史交易记录包括节点账户地址、历史交易金额、历史交易时间戳、历史交易流方向和历史交易次数；

从所述历史交易记录中提取所述目标节点和所述预置阶邻居节点。
根据权利要求2所述的基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，所述根据所述一阶邻居节点和所述二阶邻居节点构建以所述目标节点为中心节点的二阶交易子图网络，包括：

将所述目标节点作为中心节点，并根据所述中心节点和所述一阶邻居节点构建一阶网络连边；

根据所述一阶邻居节点和所述二阶邻居节点构建二阶网络连边；

将所述历史交易记录存储至各节点中，得到所述二阶交易子图网络。
根据权利要求1所述的基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，所述根据所述二阶交易子图网络中各节点的相关交易信息数据对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络，包括：

提取所述中心节点对应的所述二阶交易子图网络中所有节点的相关交易信息数据，所述相关交易信息数据包括预置交易金额、预置交易时间戳和预置交易流方向；

对所述相关交易信息数据进行分析处理，获取各节点与所述中心节点之间的关联强度值；

根据所述关联强度值对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络，所述提炼处理包括再采样处理和再标签处理。
根据权利要求4所述的基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，所述对所述相关交易信息数据进行分析处理，获取各节点与所述中心节点之间的关联强度值，之后还包括：

采用预置激活函数对所述关联强度值进行归一化处理。
根据权利要求4所述的基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，所述再采样处理的过程为：

根据所述关联强度值删除所述二阶交易子图网络中的冗余节点。
根据权利要求4所述的基于图分类的以太坊网络钓鱼诈骗检测方法，其特征在于，所述再标签处理的过程为：

根据历史标签和所述关联强度值对各节点之间的行为差异进行分析处理，并根据分析结果增加细化节点标签。
一种基于图分类的以太坊网络钓鱼诈骗检测装置，其特征在于，包括：

提取模块，用于从所述以太坊网络中提取目标节点和预置阶邻居节点，所述目标节点包括带标记的钓鱼节点和非钓鱼节点，所述预置阶邻居节点包括一阶邻居节点和二阶邻居节点；

构建模块，用于根据所述一阶邻居节点和所述二阶邻居节点构建以所述目标节点为中心节点的二阶交易子图网络；

提炼模块，用于根据所述二阶交易子图网络中各节点的相关交易信息数据对所述二阶交易子图网络进行提炼处理，得到目标交易子图网络；

学习模块，用于采用预置图嵌入算法提取所述目标交易子图网络中的特征，得到网络表示向量；

分类模块，用于将所述网络表示向量输入预置分类器中进行二分类处理，得到目标钓鱼节点。
根据权利要求8所述的基于图分类的以太坊网络钓鱼诈骗检测装置，其特征在于，所述提取模块，具体用于：

在以太坊网络中获取历史交易记录，所述历史交易记录包括节点账户地址、历史交易金额、历史交易时间戳、历史交易流方向和历史交易次数；

从所述历史交易记录中提取所述目标节点和所述预置阶邻居节点。
根据权利要求9所述的基于图分类的以太坊网络钓鱼诈骗检测装置，其特征在于，所述构建模块，具体用于：

将所述目标节点作为中心节点，并根据所述中心节点和所述一阶邻居节点构建一阶网络连边；

根据所述一阶邻居节点和所述二阶邻居节点构建二阶网络连边；

将所述历史交易记录存储至各节点中，得到所述二阶交易子图网络。