WO2023050620A1

WO2023050620A1 - 一种分布式区块链系统用户异常行为监测方法及系统

Info

Publication number: WO2023050620A1
Application number: PCT/CN2021/142711
Authority: WO
Inventors: 谢海鹏; 王昀; 汤凌峰; 别朝红; 李更丰
Original assignee: 西安交通大学
Priority date: 2021-09-29
Filing date: 2021-12-29
Publication date: 2023-04-06
Also published as: CN113961434A

Abstract

本发明公开了一种分布式区块链系统用户异常行为监测方法及系统，通过对用户的行为数据进行预处理与脱敏处理后，从预处理与脱敏处理后的行为数据中提取数据特征，然后将提取的数据特征在区块链的各个节点之间共享，形成完整的数据链，各节点同步该区块以获取处理后的特征数据，然后通过构建孤立树，将所有数据根据某个维度的数据特征分散至该孤立树中的多个分叉上，通过计算数据在由多个孤立树构建的孤立森林中的路径深度与平均路径深度，可以得到检测数据的异常值，有利于克服区块链高维大数据异常监测困难、准确率低的问题，并通过采用分布式算法提升计算效率，为区块链系统交易的安全性提供可靠保障。

Description

一种分布式区块链系统用户异常行为监测方法及系统

技术领域

本发明属于涉及区块链交易的风控技术领域，尤其涉及一种分布式区块链系统用户异常行为监测方法及系统。

背景技术

区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构。作为新兴的分布式数据存储技术，由于去中心化、分布式存储等特点，引起了各个行业的高度重视，并正成为驱动各行业技术创新与产业变革的重要力量。

随着区块链技术的日渐成熟与区块链应用的逐步展开，区块链交易的隐私性与安全性受到广泛的关注。传统的区块链系统通过非对称加密的方法对用户真实性进行验证。然而，当攻击者通过区块链外的网络攻击形式截取到用户的密钥时，就可以直接控制用户在区块链交易系统中做出欺骗性交易行为。因此，如何对区块链交易中的异常行为进行准确判别与筛选成为研究的重点。

异常行为的判别可以归结为异常点检测问题，即在一群数据点中找寻分布稀疏且距离密度高的群体较远的点。传统的异常点检测技术，如基于统计学的EM算法、基于聚类的k-means算法、基于密度的DBSCAN算法等存在着时间复杂度大、参数或模型选取困难、高维数据检测效果差、无法进行分布式计算等问题，对于大数据、分布式、高维度的区块链系统往往并不适用。因此，研究区块链系统的异常行为检测显得尤为必要和迫切。

发明内容

本发明的目的在于提供一种分布式区块链系统用户异常行为监测方法及系统，以克服现有技术的不足。

为达到上述目的，本发明采用如下技术方案：

一种分布式区块链系统用户异常行为监测方法，包括以下步骤：

S1，采集区块链交易系统中每个用户的行为数据；

S2，对采集的行为数据进行预处理与脱敏处理；

S3，从预处理与脱敏处理后的行为数据中提取数据特征；

S4，将提取的特征数据组成验证信息区块上传至区块链，各节点同步该区块以获取处理后的特征数据；

S5，各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，然后将各节点计算的数据深度与平均深度汇总后对计算用户行为评分，若用户行为评分超过设定阈值，则判断用户行为为异常，并将异常行为的相关信息组成异常信息区块上传至区块链，各节点根据异常信息区块信息进行对应行为的自查。

进一步的，用户的行为数据是由用户账号、用户登录时间、登录IP、交易金额、交易时间和交易类型构成的向量。

进一步的，预处理是指清除残缺与重复数据，填充缺失数据。

进一步的，脱敏处理具体是对用户账号与登录IP进行哈希加密，将用户的登录时间与交易时间转化为时间戳。

进一步的，数据特征包括登录时间差、登录IP哈希值、交易金额标准差、交易金额离散系数、交易时间差与交易类型编号。

进一步的，各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，具体包括以下步骤：

1)在所有数据中随机选择n个样本，进行孤立树的生成；

2)随机选择n个样本的同一数据特征，在该特征的最大值和最小值之间随机选择一个值，对样本进行二叉划分，将样本中小于该取值的数据划到该层树的左分支，大于等于该取值的划到该层树的右分支；

3)分别在左右分支中重复步骤2)，直至数据不可再分或二叉树达到限定的最大深度log ₂(n)。

进一步的，孤立树中所有数据的平均路径深度为

其中，H(n-1)＝ln(n-1)+0.5772156649，对于任意数据，其在某棵孤立树的路径深度为h(x)＝e+C(T.size)，其中，e代表数据从孤立树的起点到数据所在分叉经过的边的数目，T.size代表与该数据在同一最小分叉的样本数目，C(T.size)是对已达最大深度但实际上仍能继续划分的数据的路径深度修正。

进一步的，根据各节点计算的数据深度与平均深度汇总后对计算用户行为评分，并判断用户行为是否异常：节点评分计算方法为

其中，E(h(x))表示数据x在所有孤立树的路径深度均值；当0<Score(x)<0.5时，证明数据x经过更多次的二叉划分才能与其他数据孤立，因此认为该数据对应的用户行为正常；当0.5<Score(x)<1时，证明数据x经过更少次的二叉划分即与其他数据孤立，因此认为该数据对应的用户行为存在异常。

一种分布式区块链系统用户异常行为监测系统，包括数据采集模块，预处理模块和异常监测模块；

数据采集模块用于采集区块链交易系统中每个用户的行为数据，并将获取的数据传输至预处理模块；预处理模块对采集的行为数据进行预处理与脱敏处理，并且从预处理与脱敏处理后的行为数据中提取数据特征，然后将提取的特征数据组成验证信息区块上传至区块链，各节点同步该区块以获取处理后的特征数据；异常监测模块连接各节点，在各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，然后将各节点计算的数据深度与平均深度汇总后对计算用户行为评分，若用户行为评分超过设定阈值，则判断用户行为为异常，并将异常行为的相关信息组成异常信息区块上传至区块链，各节点根据异常信息区块信息进行对应行为的自查。

进一步的，异常监测模块根据节点评分计算方法为

其中，E(h(x))表示数据x在所有孤立树的路径深度均值；当0<Score(x)<0.5时，证明数据x经过更多次的二叉划分才能与其他数据孤立，因此认为该数据对应的用户行为正常；当0.5<Score(x)<1时，证明数据x经过更少次的二叉划分即与其他数据孤立，认为该数据对应的用户行为存在异常。

与现有技术相比，本发明具有以下有益的技术效果：

本发明一种分布式区块链系统用户异常行为监测方法，通过对用户的行为数据进行预处理与脱敏处理后，从预处理与脱敏处理后的行为数据中提取数据特征，然后将提取的数据特征在区块链的各个节点之间共享，形成完整的数据链，各节点同步该区块以获取处理后的特征数据，然后通过构建孤立树，将所有数据根据某个维度的数据特征分散至该孤立树中的多个分叉上，通过计算数据在由多个孤立树构建的孤立森林中的路径深度与平均路径深度，可以得到检测数据的异常值，有利于克服区块链高维大数据异常监测困难、准确率低的问题，并通过采用分布式算法提升计算效率，为区块链系统交易的安全性提供可靠保障。

进一步的，用户的行为数据是由用户账号、用户登录时间、登录IP、交易金额、交易时间和交易类型构成的向量，能够准确反应用户信息，提高计算准确度。

进一步的，通过利用各个节点独立生成孤立树，并将各数据的树深度上传至系统，这样的分布式算法不仅与区块链系统分布式去中心的架构相契合，也相比传统在单一设备上重复生成孤立树组成孤立森林的方法进一步提高计算效率，加速了异常行为的判别速度，使得孤立森林算法更加贴合工程实际应用，为区块链系统提供快速有效的安全性保证。

本发明一种分布式区块链系统用户异常行为监测系统，包括数据采集模块，预处理模块和异常监测模块；

数据采集模块用于采集区块链交易系统中每个用户的行为数据，采用异常监测模块基于孤立树实现区块链交易系统的异常行为的高效判断，采用孤立树只需要通过数据本身开展计算，并不需要计算数据的密度、距离等指标，大大降低了计算时间。

附图说明

图1为本发明实施例中异常识别过程中节点与系统的交互流程图。

图2为本发明实施例中孤立森林算法实现流程图。

具体实施方式

下面结合附图对本发明做进一步详细描述：

如图1所示，一种分布式区块链系统用户异常行为监测方法，包括以下步骤：

S1，采集区块链交易系统中每个用户的行为数据；

具体的，利用系统采集区块链交易系统中每个用户的行为数据，所述系统在私有链中指区块链管理系统采集区块链交易系统，所述系统在公有链与联盟链中根据共识机制随机选取的具有计算能力的某个或多个节点。用户行为指用户登入区块链交易系统或在区块链交易系统中进行交易。用户的行为数据是由用户账号、用户登录时间、登录IP、交易金额、交易时间和交易类型构成的向量。

S2，对采集的行为数据进行预处理与脱敏处理；

预处理是指清除残缺与重复数据，填充缺失数据；对行为数据中同一用户出现多次的信息进行重复部分内容清理，留存一份，对于同一用户多个信息数据，进行互补留存，将同一用于下的所有信息进行融合去除重复数据；

脱敏处理具体是对用户账号与登录IP进行哈希加密，即y _IP＝SHA256(x _IP)，其中x _IP与y _IP为加密前后的IP地址，SHA256是一种防碰撞不可逆的加密算法，将任意字符串转化为64位16进制的加密结果；将用户的登录时间与交易时间转化为时间戳，即y _time＝timestamp(x _time)，其中x _time与y _time为转换前后的时间信息，timestamp是一种时间戳转化算法，可以将时间转化为10位10进制的数字结果。

S3，从预处理与脱敏处理后的行为数据中提取数据特征；

数据特征包括登录时间差(即连续两次登录时间戳的差值)、登录IP哈希值，由于哈希加密长度过长，且哈希加密算法本身的防碰撞性，可以截取哈希加密结果的前4位为IP地址的数据特征、交易金额标准差，即

其中

为交易金额的平均值、交易金额离散系数，即

交易时间差，即连续两次交易时间戳的差值与交易类型编号。

如图2所示，各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，具体包括以下步骤：

1)在所有数据中随机选择n个样本，进行孤立树的生成；

2)随机选择n个样本的同一数据特征，在该特征的最大值和最小值之间随机选择一个值，对样本进行二叉划分。将样本中小于该取值的数据划到该层树的左分支，大于等于该取值的划到该层树的右分支。

3)分别在左右分支中重复步骤2)，直至数据不可再分或二叉树达到限定的最大深度log ₂(n)；

4)孤立树中所有数据的平均路径深度为

其中，H(n-1)＝ln(n-1)+0.5772156649。对于任意数据，其在某棵孤立树的路径深度为h(x)＝e+C(T.size)。其中，e代表数据从孤立树的起点到数据所在分叉经过的边的数目，T.size代表与该数据在同一最小分叉的样本数目，C(T.size)是对已达最大深度但实际上仍能继续划分的数据的路径深度修正。

根据各节点计算的数据深度与平均深度汇总后对计算用户行为评分，并判断用户行为是否异常。节点评分计算方法为

其中，E(h(x))表示数据x在所有孤立树的路径深度均值；当0<Score(x)<0.5时，证明数据x 经过更多次的二叉划分才能与其他数据孤立，因此认为该数据对应的用户行为正常；当0.5<Score(x)<1时，证明数据x经过更少次的二叉划分即与其他数据孤立，因此认为该数据对应的用户行为存在异常。并将异常行为的相关信息组成异常信息区块上传至区块链，各节点根据异常信息区块信息进行对应行为的自查。

本发明一种分布式区块链系统用户异常行为监测方法，采用孤立森林算法实现区块链交易系统的异常行为的高效判断，由于孤立森林算法只需要通过数据本身开展计算，并不需要计算数据的密度、距离等指标，大大降低了计算时间。此外，孤立森林模型不需要对已有的数据进行学习与训练，因此可以识别出新的异常数据，减小了传统工程应用中仅能识别现有或部分预设异常行为的局限性。

通过利用各个节点独立生成孤立树，并将各数据的树深度上传至系统，这样的分布式算法不仅与区块链系统分布式去中心的架构相契合，也相比传统在单一设备上重复生成孤立树组成孤立森林的方法进一步提高计算效率，加速了异常行为的判别速度，使得孤立森林算法更加贴合工程实际应用，为区块链系统提供快速有效的安全性保证。

通过构建孤立树，将所有数据根据某个维度的数据特征分散至该孤立树中的多个分叉上。对于异常数据，由于具有某些较为明显的数据特征，通常会被分散在距离树根更近的位置。通过计算数据在由多个孤立树构建的孤立森林中的路径深度与平均路径深度，可以得到检测数据的异常值，该值越大，则说明该数据更有可能是异常数据，有利于克服区块链高维大数据异常监测困难、准确率低的问题，并通过采用分布式算法提升计算效率，为区块链系统交易的安全性提供可靠保障。

Claims

一种分布式区块链系统用户异常行为监测方法，其特征在于，包括以下步骤：

S1，采集区块链交易系统中每个用户的行为数据；

S2，对采集的行为数据进行预处理与脱敏处理；

S3，从预处理与脱敏处理后的行为数据中提取数据特征；

S4，将提取的特征数据组成验证信息区块上传至区块链，各节点同步该区块以获取处理后的特征数据；

S5，各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，然后将各节点计算的数据深度与平均深度汇总后对计算用户行为评分，若用户行为评分超过设定阈值，则判断用户行为为异常，并将异常行为的相关信息组成异常信息区块上传至区块链，各节点根据异常信息区块信息进行对应行为的自查。
根据权利要求1所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，用户的行为数据是由用户账号、用户登录时间、登录IP、交易金额、交易时间和交易类型构成的向量。
根据权利要求1所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，预处理是指清除残缺与重复数据，填充缺失数据。
根据权利要求1所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，脱敏处理具体是对用户账号与登录IP进行哈希加密，将用户的登录时间与交易时间转化为时间戳。
根据权利要求1所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，数据特征包括登录时间差、登录IP哈希值、交易金额标准差、交易金额离散系数、交易时间差与交易类型编号。
根据权利要求1所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，具体包括以下步骤：

1)在所有数据中随机选择n个样本，进行孤立树的生成；

2)随机选择n个样本的同一数据特征，在该特征的最大值和最小值之间随机选择一个值，对样本进行二叉划分，将样本中小于该取值的数据划到该层树的左分支，大于等于该取值的划到该层树的右分支；

3)分别在左右分支中重复步骤2)，直至数据不可再分或二叉树达到限定的最大深度log ₂(n)。
根据权利要求6所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，孤立树中所有数据的平均路径深度为
其中，H(n-1)＝ln(n-1)+0.5772156649，对于任意数据，其在某棵孤立树的路径深度为h(x)＝e+C(T.size)，其中，e代表数据从孤立树的起点到数据所在分叉经过的边的数目，T.size代表与该数据在同一最小分叉的样本数目，C(T.size)是对已达最大深度但实际上仍能继续划分的数据的路径深度修正。
根据权利要求6所述的一种分布式区块链系统用户异常行为监测方法，其特征在于，根据各节点计算的数据深度与平均深度汇总后对计算用户行为评分，并判断用户行为是否异常：节点评分计算方法为
其中，E(h(x))表示数据x在所有孤立树的路径深度均值；当0<Score(x)<0.5时，证明数据x经过更多次的二叉划分才能与其他数据孤立，因此认为该数据对应的用户行为正常；当0.5<Score(x)<1时，证明数据x经过更少次的二叉划分即与其他数据孤立，因此认为该数据对应的用户行为存在异常。
一种分布式区块链系统用户异常行为监测系统，其特征在于，包括数据采集模块，预处理模块和异常监测模块；

数据采集模块用于采集区块链交易系统中每个用户的行为数据，并将获取的数据传输至预处理模块；预处理模块对采集的行为数据进行预处理与脱敏处理，并且从预处理与脱敏处理后的行为数据中提取数据特征，然后将提取的特征数据组成验证信息区块上传至区块链，各节点同步该区块以获取处理后的特征数据；异常监测模块连接各节点，在各节点根据获取的特征数据同时构建孤立树，计算孤立树的数据深度与平均深度，然后将各节点计算的数据深度与平均深度汇总后对计算用户行为评分，若用户行为评分超过设定阈值，则判断用户行为为异常，并将异常行为的相关信息组成异常信息区块上传至区块链，各节点根据异常信息区块信息进行对应行为的自查。
根据权利要求9所述的一种分布式区块链系统用户异常行为监测系统，其特征在于，异常监测模块根据节点评分计算方法为
其中，E(h(x))表示数据x在所有孤立树的路径深度均值；当0<Score(x)<0.5时，证明数据x经过更多次的二叉划分才能与其他数据孤立，因此认为该数据对应的用户行为正常；当0.5<Score(x)<1时，证明数据x经过更少次的二叉划分即与其他数据孤立，认为该数据对应的用户行为存在异常。