本次组会汇报关于面向区块链的漏洞检测与攻击溯源研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景：

区块链及其上的分布式应用涉及到大量的金钱，区块链成为黑客的一个重要攻击目标。近年来，区块链安全事件层出不穷，从底层P2P网络、中间层虚拟机到上层的智能合约，都成为黑客们攻击的对象。根据特征提取方法，将基于深度学习的智能合约漏洞检测模型分为三类，分别是基于文本处理、基于静态分析和基于图像处理的漏洞检测。

科研问题：

传统智能合约检测工具大多采用符号执行技术，极大地依赖专家模式，可能造成漏报率和误报率高、难扩展，并且存在路径求解慢，检测时间长的问题。
当前基于机器学习以及深度学习的合约漏洞检测方法大多只利用合约源码或字节码的序列化信息，忽略了代码中函数调用、参数传递等具有方向的图结构信息，对合约特征的挖掘不够。
现阶段的智能合约漏洞检测模型大多基于源代码、字节码序列、CFG和AST等静态特征进行学习和检测。然而静态分析获得的特征是有限的，智能合约漏洞大多是在运行时发生的。应该考虑如何将智能合约的运行时动态特征结合起来扩展模型的特征表示空间。

科研目的：

传统智能合约检测工具大多采用符号执行技术，极大地依赖专家模式，可能造成漏报率和误报率高、难扩展，并且存在路径求解慢，检测时间长的问题。
当前基于机器学习以及深度学习的合约漏洞检测方法大多只利用合约源码或字节码的序列化信息，忽略了代码中函数调用、参数传递等具有方向的图结构信息，对合约特征的挖掘不够。
现阶段的智能合约漏洞检测模型大多基于源代码、字节码序列、CFG和AST等静态特征进行学习和检测。然而静态分析获得的特征是有限的，智能合约漏洞大多是在运行时发生的。应该考虑如何将智能合约的运行时动态特征结合起来扩展模型的特征表示空间。

科研内容：

本次组会汇报关于面向区块链智能合约威胁检测的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景：

2009年，比特币开启区块链时代，区块链技术是比特币的基础，它支持去中心化计算模式的转变。区块链技术具有去中心化、防篡改、不可逆及可追溯等特点，已经被应用到医疗、供应链管理、能源互联网等诸多领域中。区块链及其上的分布式应用涉及到大量的金钱，因此成为黑客的一个重要攻击目标。近年来，区块链安全事件层出不穷，从底层P2P网络、中间层虚拟机到上层的智能合约，都成为黑客们攻击的对象。

科研问题：

• 传统智能合约检测工具大多采用符号执行技术，极大地依赖专家模式，可能造成漏报率和误报率高、难扩展，并且存在路径求解慢，检测时间长的问题。
• 当前基于机器学习以及深度学习的合约漏洞检测方法大多只利用合约源码或字节码的序列化信息，忽略了代码中函数调用、参数传递等具有方向的图结构信息，对合约特征的挖掘不够。
• 现阶段的智能合约漏洞检测模型大多基于源代码、字节码序列、CFG和AST等静态特征进行学习和检测。然而静态分析获得的特征是有限的，智能合约漏洞大多是在运行时发生的。应该考虑如何将智能合约的运行时动态特征结合起来扩展模型的特征表示空间。

科研目的：

对由Solidity语言编写的智能合约进行结构化信息读取,并将其转化为图结构的形式,通过图神经网络学习之后,得到图层面上的合约语义表达,进而对区块链威胁进行检测。
主要思路：
通过动态执行和静态扫描，从合约中提取动态漏洞特征和静态漏洞特征，然后通过智能合约字节码构成控制流图，最后使用神经网络训练合约分类模型，对智能合约漏洞进行检测。
引入时序增强的多头注意力机制，增加对合约图边的时序特征的关注程度。

科研内容：

本次组会汇报关于面向区块链智能合约威胁检测的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

目前，区块链技术在各个领域的应用范围越来越广，区块链的安全性和隐私保护特性是推动区块链长远发展的重要因素。然而，由于这一新兴技术发展时间较短、尚不成熟，各类安全事故频频发生，引起社会各界对区块链安全问题的广泛关注。频发的智能合约攻击事件严重威胁区块链生态安全，亟需智能合约安全保障技术支持。

科研问题

1.传统智能合约检测工具大多采用符号执行技术，极大地依赖专家模式，可能造成漏报率和误报率高、难扩展，并且存在路径求解慢，检测时间长的问题。
2.当前基于深度学习的合约漏洞检测方法大多只利用合约源码或字节码的序列化信息，忽略了代码中函数调用、参数传递等具有方向的图结构信息，对合约特征的挖掘不够。

科研目的

1.将合约源码转换成图数据，利用图神经网络对合约漏洞进行检测，充分挖掘表现在合约Solidity源码上的行为特征，提高漏洞检测的准确率。
2.考虑到合约程序执行流具有明显的时序特征，使用注意力机制增强对执行流特征的挖掘。

研究内容

在数据收集与预处理阶段，通过爬取、去重、数据标注等操作得到智能合约源码数据集。然后以遍历代码的方式同时解析源码的数据流和控制流，提取边、点以及类别信息特征{Vn,En,category}，转化成图形数据，该图形数据 作为图神经网络的输入进行训练，最终得到智能合约漏洞检测模型。

科研背景

智能合约是运行在区块链系统的源代码。开发人员可以通过编写智能合约，以实现管理资产或制定交易规则。安全问题是制约智能合约发展的主要问题。由于智能合约一旦部署上链就无法对 其进行修改，一旦触发其潜在的安全问题就难以对合约进行修复。由于设计缺陷暴露的智能合约漏洞对攻击者具有足够的吸引力，使其成为了网络攻击的目标。因此，对智能合约代码进行有效的漏洞检查至关重要。

科研问题

• 现有的智能合约漏洞检测方法漏报率和误报率高、合约特征挖掘不全面。
• 当前基于深度学习的合约漏洞检测方法大多忽略了代码中函数调用、参数传递等具有方向的图结构信息。

科研目的

• 将漏洞的动态执行与静态分析相结合，提取出动静态漏洞特征，以便更准确的检测合约漏洞。
• 将合约源码转换成图数据，利用图神经网络对合约漏洞进行检测，充分挖掘表现在合约Solidity源码上的行为特征。

研究的宏观框架

本次组会汇报面向区块链的威胁检测与攻击溯源方法研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景：

• 区块链（Blockchain）可以理解为是数据区块（Block）按照时间循序排列的链 （Chain）式数据结构，最早是被Nakamoto提出并应用于比特币（Bitcoin）中。
• 区块链部署于互联网中，而互联网存在着各种网络威胁。尤其是区块链及其上的分布式应用涉及到大量的金钱，区块链成为黑客的一个重要攻击目标。近年来，区块链安全事件层出不穷，从底层P2P网络、中间层虚拟机到上层的智能合约，都成为黑客们攻击的对象。
• 根据区块链层次结构，区块链安全威胁主要分为网络层安全威胁、共识层安全威胁、数据层安全威胁以及应用层安全威胁。

科研问题：

• 现有的区块链信息获取技术或多或少存在以下3个问题：数据获取不完整、数据信息混淆以及数据获取效率低。
  • 国内外对智能合约的安全性研究方法主要分为两种：静态分析和动态检测。静态分析与动态分析两者之间相比之下， 各自具有不同的优缺点，其中静态分析具有误报率过高的情况，一些无法触发或 是复杂度较高的漏洞也不能被很好的检测出来。动态分析虽然可以对智能合约进行深入分析，但 是其臃肿的代码，极大的影响同步效率并且可扩展也很差。
    • 区块链技术被很多开发人员或学者拿来用作溯源工具，虽然这些基于区块链的溯源应用很多，但很少有人研究区块链（比如以太坊）上的攻击的溯源。原因是在以太坊中，当检测到攻击时，以太坊账户是匿名的。

科研目的：

设计一种区块链威胁在线实时检测和攻击溯源框架，对区块链网络中现有攻击或未知攻击进行实时感知和有效溯源，有效定位威胁发生的时间、地点、种类和技术特性，有效保障区块链上用户资产的安全性。

研究内容：

研究背景：随着万物互联的时代到来, 我们所面临的新生网络威胁也日趋复杂多变, 各种新型安全攻击事件频发。 “震网”、“火焰”、“毒区”等高级可持续威胁(Advanced Persistent Threat, APT)攻击陆续出现, 当前网络空间的安全威胁问题日益严峻。在日益复杂的新型网络攻击威胁下，大量传统的网络攻击防御措施已经逐渐被淘汰。黑客在进行网络攻击时，通常都使用假冒的IP地址或者使用多级代理服务器，这使得防御系统很难回溯到真正的攻击源或者无法找出问题产生的原因，从而不能实施有针对性的防御措施。

研究问题：现有方法在数据融合时对网络威胁情报信息、攻击者与攻击目标间存在的关系等信息的融合力度不够；网络中的僵尸主机、匿名代理服务器、洋葱路由、注册隐私制度等隐藏了攻击者的真实身份,增加了网络攻击事件溯源难度，进一步加大了网络攻击者挖掘分析的工作量,因此需自动化辅助的分析方法提高分析效率。但已有的研究工作存在分析特征或推理规则依赖专家经验。

研究目标：建立融合网络流量数据与威胁情报的攻击知识图谱，打通溯源分析线索间的断链、破除威胁情报的孤岛效应、降低人工手动分析的难度；引入图嵌入算法,建立用于描述网络攻击事件隐含关系的关联特征向量；利用机器学习算法自主学习生成攻击事件特征向量的分类判定模型。

研究框架：

源数据获取：主要完成网络安全威胁情报和网络流量数据两类数据的获取。

知识图谱构建：首先对网络威胁情报和网络流量数据进行数据清洗和标准化处理;然后对网络流量数据进行聚合关联处理；最后利用字符串的编辑距离和字符串相似性对处理后的数据进行实体对齐,实现多源异构数据融合,形成网络攻击事件图。

攻击挖掘：引入基于随机游走的图嵌入算法,在网络攻击事件图上随机游走,生成网络攻击事件溯源实体序列；基于该实体序列生成网络攻击事件的关联特征向量,利用历史网络攻击事件的特征向量训练GCN模型,并使用GCN实现对已知攻击者/组织的自动挖掘。

科研背景

随着信息技术与互联网科技的髙速发展，我们的日常生活越来越离不开互联网，但与此同时，网络攻击也变得更加频繁。目前市面上已经有不少网络安全设备，如ＩＤＳ，然而，由于ＩＤＳ所产生的警报数量非常庞大，少部分的有用信息隐藏在海量的告警日志中。因此，通过对告警日志进行误报消除、关联分析，挖掘出隐藏其中的攻击模式，还原攻击场景，从而发现攻击的真实意图，能够更加有效的防范攻击行为。

科研问题

告警信息冗余：IDS产生海量的告警数据，使得安全管理人员不能聚焦到关键的告警。

现有的告警关联方法大多存在需要不同程度的专家知识。

科研方法

引入网络安全事件知识图谱来处理告警信息，并与通用安全事件知识图谱进行融合。

采用多因素分析的告警关联方式。

主要思路

科研背景：随着计算机网络和信息技术的高速发展，网络安全形势日趋严峻，大规模攻击日趋频繁。为了防范网络攻击，产生了很多的安全技术。入侵检测系统是继防火墙之后的第二道网络安全屏障，是一种主动的安全防护措施，有效弥补了防火墙的不足。虽然目前的入侵检测系统具有强大的攻击检测能力，但是多数的IDS仍然存在大量重复告警的问题，误报率偏高，告警质量低下，只能检测单步攻击行为，无法反映渗透的整体过程以及攻击者的攻击意图，使得安全管理人员难以管理和分析海量告警数据。

科研问题：如何降低IDS冗余告警带来的负面影响；现有的告警关联方法大多存在需要不同程度的专家知识。

科研目的：基于入侵检测系统根据网络实时流量输出的告警信息，构建网络基本事件图谱，减少冗余信息，降低处理时间复杂度。提出一种基于多因素的告警关联方法，方法核心在于通过结合时间、IP 地址、告警类型等多个因素来综合度量告警间的关系。