基于深度学习的智能合约漏洞检测方法

以太坊是当下最流行的区块链平台之一,目前已部署数千万个智能合约,控制了价值数千亿美元的以太坊加密货币。由智能合约漏洞引起的安全事件层出不穷,资金损失尤为严重。针对当前智能合约漏洞检测率较低、检测性能不足的问题,提出了基于深度学习的智能合约漏洞检测方法。编译以太坊智能合约源码,解析其对应的字节码得到操作码数据流,根据以太坊黄皮书中操作码与16进制数的对应关系构建字典,将操作码数据流转化为用16进制数表示的操作码序列。通过对操作码序列进行分析,设计循环神经网络、长短期记忆神经网络和卷积神经网络-长短期记忆神经网络3种不同的深度学习网络结构进行漏洞检测。在真实环境中采集了47 527个智能合约,针对智能合约6种漏洞的检测,卷积神经网络-长短期记忆神经网络模型的Macro-F1达到了82.1%。大量的实验结果表明,所提出的模型和方法可实现高效的智能合约漏洞检测。     

智能合约安全综述:漏洞分析

加密货币比特币的出现带动了区块链技术的蓬勃发展,智能合约技术则是区块链技术中的一个技术高地.目前以太坊中的智能合约应用受到大量的关注,创造了海量的价值应用,同时也带来了密集的攻击活动.随着智能合约的数量越来越多,尤其是智能合约中的代码漏洞也逐渐被许多研究人员和恶意攻击者发现,造成了一系列重大的经济损失案件.为了对智能合约技术的稳定性发展提供理论研究基础,文章针对以太坊上已知的智能合约漏洞进行了介绍、分类和总结,并对智能合约安全漏洞进行详细的原理阐述与场景代码复现.     

区块链交易安全问题研究

区块链技术提出了去中心化的分布式账本,改变了原有的交易模式.然而新模式的出现和发展带来了许多交易安全问题,严重威胁用户资产安全.首先对区块链交易进行简要概述,再重点研究分析区块链交易的安全问题,包括攻击、骗局、账户行为、私钥泄露和智能合约漏洞等,接着,从交易记录异常检测、地址异常检测、智能合约检测、行为异常检测以及智能...     

基于胶囊网络和注意力机制的智能合约漏洞检测方法

近年来,随着智能合约的数量越来越多,因合约漏洞而造成的经济损失愈发严重,智能合约的安全性越来越受到广泛的关注。基于深度学习的漏洞检测方法能够解决早期传统智能合约漏洞检测方法检测效率低、准确率不足的问题,但大多现有基于深度学习的漏洞检测方法都是直接使用智能合约源代码、操作码序列或字节码序列作为深度学习模型的输入,会因引入过多无效信息而削弱有效信息。为此,文中提出了一种基于胶囊网络和注意力机制的智能合约漏洞检测方法。考虑到程序的执行时序信息,文中通过提取智能合约的关键操作码序列作为源代码特征,然后利用胶囊网络和注意力机制的混合网络进行训练,其中胶囊网络模块用于提取智能合约的上下文信息以及局部与整体的联系,注意力机制用于给不同的操作码按照其重要程度分配不同的权重。实验结果表明,文中提出的算法在智能合约数据集中的F₁分数和准确率分别为94.48%和97.15%,与其他传统检测方法和深度学习方法相比有较明显的性能提升。     

基于迁移学习的智能合约漏洞检测方法

针对智能合约源代码漏洞数据集匮乏的问题，提出一种基于迁移学习的智能合约漏洞检测方法.首先，从CodeBERT预训练模型中迁移表示传统编程语言的语义特征参数，学习智能合约编程语言Solidity的语义表示；其次，使用长短期记忆网络处理语义向量，加入上下文语义关联；最后，训练智能合约漏洞检测模型，完成智能合约源代码形式的二分类漏洞检测任务.实验结果表明，与基线方法和机器学习方法相比，该方法在数据集匮乏情况下的智能合约漏洞检测准确率更高.     

以太坊庞氏骗局的类型分析与识别方法

随着区块链投资领域投资者的增多,隐藏在智能合约中的庞氏骗局的影响也愈发恶劣。目前虽然有一些研究人员已经开始关注区块链上的庞氏骗局问题,但大部分还是停留在检测的层面上。将在现有的以太坊庞氏骗局检测方法的基础上进行进一步的研究,提出一种新颖的以太坊庞氏骗局类型识别方法。该方法基于智能合约的源代码和交易记录,通过分析提取关键词,将关键词与待测合约的源代码进行匹配,再结合交易记录的逻辑,进行二次分析,从而判断该合约属于哪一种骗局类型。在以太坊真实数据集上的实验表明：该方法的分类结果与人工分类的结果相比,分类准确率可以达到80%。研究有助于研究人员和投资者更加深入的了解以太坊智能合约庞氏骗局的本质。     

基于区块链的旅游服务交易智能合约算法研究

为解决旅游企业为了获取更大的利益存在在第三方平台上发布虚假信息、不透明的交易数据以及客户身份信息存疑等问题,提出了一种基于区块链的旅游服务交易智能合约算法。分析传统旅游服务交易模式中存在的问题;并根据区块链的不可篡改性和公开透明性等特点,提出了一种去中心化的旅游服务交易机制。并设计了基于智能合约的旅游服务去中心化的交易方法,确保整个交易过程中信息公开透明化、不可篡改。实验结果表明,该方法是一种有效的方法。     

区块链发票生态链的应用

2008年,中本聪发表了一篇《比特币:一种点对点的电子现金系统》的论文,此后区块链在全球掀起了一场信用革命。从比特币的诞生到各种代币的快速生长,从以太坊为代表的智能合约的兴起,到区块链+场景的不断涌现,区块链以其去中心化、数据不可篡改、可追溯和智能合约等安全可信的独特优势被越来越多的人认同和接受。发票领域因其超大规模和超限共识的特点天然成为区块链技术解决的领域之一,也必将成为"区块链+场景"的潜力应用之一。     

区块链研究热点及知识结构的文献计量分析

随着数字经济时代的到来,区块链技术成为热门的研究领域.对区块链相关研究热点和知识结构进行分析,有助于厘清研究脉络,为后续研究提供参考.以中国知网(CNKI)和Web of Science(WOS)数据库收录的区块链相关文献为研究对象,采用文献计量方法对区块链相关的科研力量分布、核心作者合作网络以及关键词共现网络进行分析.论文研究发现:国外学者相比国内学者文章数量增速更快,国内外相关文献集中在计算机科学、信息技术、经济与管理科学领域;国外学者之间交流密切,合作较多,而国内学者之间尽管存在一定的交流合作,但研究团队规模较小,有待于进一步加强合作;国内相关文献高产作者和高被引作者基本匹配,国外相关文献高产作者和高被引作者失配;物联网、大数据等技术的发展推动了区块链技术的科技创新和进步;区块链相关文献知识结构与区块链技术的发展进程高度相关,是区块链1.0/2.0/3.0的体现,包括区块链技术的优化创新、数字货币、区块链金融与智能合约、区块链技术的其他应用.     

峰谷电价激励下基于智能合约的企业用电效益研究

目的提出一种基于区块链的分布式企业用电策略,在峰谷差异化定价前提下最大化降低企业用电成本。方法首先,利用区块链与智能合约技术,给出企业社区化交易P2P模型与智能合约。其次,结合某中型制药企业一年用电数据,基于峰谷电价和储能技术,建立削减用电成本的数学模型,利用深度学习框架TensorFlow对模型和数据进行求解,获取年最大成本削减量、最佳电能损耗率。最后,在社区交易P2P模型下,对用电成本进一步优化,并在以太坊中对数据进行仿真和验证。结果与结论在泛在电能互联改革中,区块链技术能更有效地降低企业用电成本,并促进企业参与电网削峰填谷。     

基于双通道的智能合约漏洞检测方法

智能合约因漏洞而造成巨大的经济损失受到了广泛关注。针对现有的智能合约漏洞检测方法检测精度不高的问题,结合动态卷积神经网络(dynamic convolution neural network,DCNN)、双向门控递归单元(bidirectional gate recurrent unit,Bi GRU)、图传递神经网络(message passing neural network,MPNN)、注意力机制提出了基于双通道的漏洞检测方法DBTA(DCNN-BiGRU-MPNN-Attention)。首先利用Word2vec词嵌入技术和图归一化方法对数据进行预处理,将获得的词向量表示传入改进DCNN-BiGRU,并引入了R-Drop(regularized dropout for neural networks)正则化方法提高模型泛化能力。将图归一化表示传入图传递神经网络,通过两个通道分别提取序列特征和图特征,然后结合自注意力机制和交叉注意力机制捕捉不同特征间的相关性,从而突出关键特征对漏洞检测的重要性。最后通过全连接层得到输出向量,利用sigmoid函数输出结果。通过消融实验和对比实验表明...     

基于静态检测的程序安全漏洞测试

静态分析方法可以自动地提取软件的行为信息，从而检测出软件中的安全漏洞。和其他程序分析方法相比，该方法具有自动化程度高和检测速度快的优点。本文介绍了Java语言的安全漏洞的故障模式，说明了类型推断、数据流分析和约束分析等主要静态分析方法及两种特别的分析方法，最后介绍了几种常用的静态代码安全检测工具。     

基于静态检测的程序安全漏洞测试

静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其他程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。本文介绍了Java语言的安全漏洞的故障模式，说明了类型推断、数据流分析和约束分析等主要静态分析方法及两种特别的分析方法，最后介绍了几种常用的静态代码安全检测工具。     

区块链技术下配电侧电力市场交易平台研究

选取微电网运营商、负荷聚合商和电力大用户作为配电侧电力交易的多元主体,在综合考量三者之间需求与利益平衡关系的基础上,初步构建了区块链技术下配 电侧电力市场交易平台的架构：底层通过区块链核心技术以充分发挥其作为分布式账本的优势;上层考虑各市场主体电力需求约束,以利益最大化为目标,通过平衡博弈达成智能合约,并记录在底层区块链账本中。基于算例分析,验证了智能合约模型的可行性,并通过仿真实现了区块链技术下配电侧电力市场交易。     

区块链研究综述

区块链技术伴随着数字货币比特币产生,是一个具有全网一致性共识、去中心化、可编程和安全防篡改等特点的分布式数据账本,目前在数字金融货币领域的应用最为广泛。区块链技术的不断发展和更新,为其与更多领域的融合提供了可能性,可构建不同的可编程行业区块链系统。面向未来区块链技术的发展,介绍区块链技术的背景和基本框架,详细讨论区块链的关键技术:共识机制、智能合约以及安全隐私问题,研究区块链技术与5G、物联网和边缘计算的融合。对区块链技术的研究进展进行概括,重点关注跨链技术和可扩展性问题,并分析未来区块链物联网系统的发展方向。     

基于结构化文本及代码度量的漏洞检测方法

目前的源代码漏洞检测方法大多仅依靠单一特征进行检测,表征的维度单一导致方法效率低.针对上述问题提出一种基于结构化文本及代码度量的漏洞检测方法,在函数级粒度进行漏洞检测.利用源代码结构化文本信息及代码度量结果作为特征,通过构造基于自注意力机制的神经网络捕获结构化文本信息中的长期依赖关系,以拟合结构化文本和漏洞存在之间的联系并转化为漏洞存在的概率.采用深度神经网络对代码度量的结果进行特征学习以拟合代码度量值与漏洞存在的关系,并将其拟合的结果转化为漏洞存在的概率.采用支持向量机对由上述两种表征方式获得的漏洞存在概率做进一步的决策分类并获得漏洞检测的最终结果.为验证该方法的漏洞检测性能,针对存在不同类型漏洞的11种源代码样本进行漏洞检测实验,该方法对每种漏洞的平均检测准确率为97.96%,与现有基于单一表征的漏洞检测方法相比,该方法的检测准确率提高了4.89%~12.21%,同时,该方法的漏报率和误报率均保持在10%以内.     

A Method for Software Vulnerability Detection Based on Improved Control Flow Graph

With the rapid development of software technology, software vulnerability has become a major threat to computer security. The timely detection and repair of potential vulnerabilities in software, are of great significance in reducing system crashes and maintaining system security and integrity. This paper focuses on detecting three common types of vulnerabilities: Unused_Variable, Use_of_Uninitialized_Variable, and Use_After_ Free. We propose a method for software vulnerability detection based on an improved control flow graph(ICFG) and several predicates of vulnerability properties for each type of vulnerability. We also define a set of grammar rules for analyzing and deriving the three mentioned types of vulnerabilities, and design three vulnerability detection algorithms to guide the process of vulnerability detection. In addition, we conduct cases studies of the three mentioned types of vulnerabilities with real vulnerability program segments from Common Weakness Enumeration(CWE). The results of the studies show that the proposed method can detect the vulnerability in the tested program segments. Finally, we conduct manual analysis and experiments on detecting the three types of vulnerability program segments(30 examples for each type) from CWE, to compare the vulnerability detection effectiveness of the proposed method with that of the existing detection tool Cpp Check. The results show that the proposed method performs better. In summary, the method proposed in this paper has certain feasibility and effectiveness in detecting the three mentioned types of vulnerabilities, and it will also have guiding significance for the detection of other common vulnerabilities.