本次组会汇报关于面向区块链智能合约威胁检测的思路进展,从科研背景、科研问题、科研目的、研究内容等几个方面展开。
科研背景:
2009年,比特币开启区块链时代,区块链技术是比特币的基础,它支持去中心化计算模式的转变。区块链技术具有去中心化、防篡改、不可逆及可追溯等特点,已经被应用到医疗、供应链管理、能源互联网等诸多领域中。区块链及其上的分布式应用涉及到大量的金钱,因此成为黑客的一个重要攻击目标。近年来,区块链安全事件层出不穷,从底层P2P网络、中间层虚拟机到上层的智能合约,都成为黑客们攻击的对象。
科研问题:
- 传统智能合约检测工具大多采用符号执行技术,极大地依赖专家模式,可能造成漏报率和误报率高、难扩展,并且存在路径求解慢,检测时间长的问题。
- 当前基于机器学习以及深度学习的合约漏洞检测方法大多只利用合约源码或字节码的序列化信息,忽略了代码中函数调用、参数传递等具有方向的图结构信息,对合约特征的挖掘不够。
- 现阶段的智能合约漏洞检测模型大多基于源代码、字节码序列、CFG和AST等静态特征进行学习和检测。然而静态分析获得的特征是有限的,智能合约漏洞大多是在运行时发生的。应该考虑如何将智能合约的运行时动态特征结合起来扩展模型的特征表示空间。
科研目的:
对由Solidity语言编写的智能合约进行结构化信息读取,并将其转化为图结构的形式,通过图神经网络学习之后,得到图层面上的合约语义表达,进而对区块链威胁进行检测。
主要思路:
通过动态执行和静态扫描,从合约中提取动态漏洞特征和静态漏洞特征,然后通过智能合约字节码构成控制流图,最后使用神经网络训练合约分类模型,对智能合约漏洞进行检测。
引入时序增强的多头注意力机制,增加对合约图边的时序特征的关注程度。
科研内容: