APP下载

区块链生态安全挑战及解决方案研究

2020-06-23杨霞

网络空间安全 2020年3期
关键词:深度学习

摘   要:区块链巧妙地融合了密码学、点对点传输、共识机制等多种技术,实现了有效的价值传输体系。近年来,随着区块链各类应用的爆发式增长,其各层面的安全问题也随之凸显。区块链底层平台、区块链应用漏洞导致的风险以及各类虚拟资产犯罪行为对区块链生态的安全带来了极大的挑战。文章针对区块链生态的各类安全挑战进行深入分析,基于区块链安全技术以及区块链监管两个维度,提供了区块链全生态安全解决方案。最后依据深度学习技术的发展,提出le 区块链生态安全技术及方案的未来展望和研究方向。

关键词:区块链生态;虚拟资产犯罪;安全解决方案;深度学习

中图分类号: TP319          文献标识码:A

Abstract: Blockchain skillfully integrates Cryptography, P2P transmission, Consensus mechanism and other technologies to achieve effective value transmission system. In recent years, with the explosive growth of various blockchain applications, the blockchain security issues at all levels have become prominent. The risks caused by the vulnerability of blockchain underlying platforms and blockchain applications and a various kinds of virtual asset crimes, have brought great challenges to blockchain ecology security. Based on the in-depth analysis of various security challenges of blockchain ecology, this paper provides a security solution of full blockchain ecology from two dimensions: blockchain security technology and blockchain supervision. At last, the future prospect and research direction of blockchain ecology security technology and solution are proposed according to the development of deep learning technology.

Key words: blockchain ecology; virtual asset crime; security solutions; deep learning

1 引言

区块链技术发展至今已经形成了一个较为完整的技术栈,区块链被广泛地关注和研究主要是因为其本身的特性:去中心、透明性和可溯源性、开放性、不可篡改性及匿名性[1]。区块链技术已广泛应用于金融、医疗、物流、产品溯源等多个领域,随着区块链技术的广泛应用,区块链生态中的安全问题也层出不穷,引起了全球的高度重视。据中国信息通信研究院/中国通信标准化协会发布的《区块链安全白皮书》数据统计,全球区块链重大安全事件的损失金额从2011-2019年呈逐步上升趋势,2017-2019年甚至出现了指数级增长。2019年,区块链安全事件造成的损失已高达60亿美元[2]。

2 全球区块链生态安全现状

从全球来看,区块链生态的安全问题日益严重,虚拟资产被盗、虚拟资产服务商被黑客攻击、智能合约逻辑问题导致执行出错等安全事故不断发生。2016年6月17日,一名黑客发现了以太坊上一个去中心化的自治风险投资基金The Dao的合约漏洞,可无限从合约中转出资金,短短几小时,360万枚以太币被转出;2018年1月26日,日本交易所Coincheck被黑客入侵,称被盗资金为“史上最高的盗窃金额”(约5.3亿美元)此数字超过Mt.Gox交易所被盗数额(4.73亿美元);2017年9月13日,有人通过利用以太坊钱包客户端Parity漏洞窃取了超过15.3万枚以太币,其价格超过3000万美元。世界各国已经对区块链生态安全进行了相关的研究,并制定了各项区块链的安全监管条例。英国政府提出以技术监管为核心,法律监管为辅助,双措并举打造区块链监管新模式。美国鼓励探索区块链在安全领域的应用,注重区块链安全风险技术应对[3]。我国的区块链技术生态结构与国外基本一致,在推动区块链技术发展和引用落地时,同样重视区块链的安全问题,从区块链安全威胁描述、安全体系构建、安全应对建议等方面加强了指导。

3 区块链生态主要安全挑战

3.1 区块链平台

区块链平台就是区块链的底层系统,负责支撑各类区块链应用的运行环境,是区块链生态中的核心与基石。在经历了新的区块链分化与发展后,产生了公有链和联盟链的应用方向[4]。

3.1.1 公有鏈

公有链是指任何人都可以参与,无任何访问限制的区块链,如比特币、以太坊、EOS等。由于公有链的开源性质,导致公有链的安全性较低,受攻击面较大,包括在节点通信、区块处理、交易逻辑、数据存储及共识机制等各个层面,容易受到威胁。

3.1.2 联盟链

联盟链是由符合某种条件的成员组成联盟来管理的区块链,只有经过许可的可信节点才能参与该联盟链的记账,其它用户仅有部分权限[5],包括IBM的Hyperledger Fabric 2.0、蚂蚁金服的开放联盟链等。联盟链由于有对接入权限管控的限制,安全性相较于公有链有些许提升,但依然存在某些和公链类似的安全风险点,如链上数据异常、节点异常、加密通信的安全性,以及联盟链特有的认证授权策略及账户授权机制的风险等。

在计算机科学中,形式化验证是一种面向软硬件的基于规约、开发、以及验证的方法,主要借助于数理逻辑分析来加强系统的可靠性和稳固性。将形式化验证技术运用于智能合约的安全验证,运用形式化验证中最重要的定理证明和模型检测来验证智能合约的安全性。根据成都链安的内部实验数据表明,形式化验证技术对智能合約安全验证的准确度高达97%,是一种非常可靠且准确的智能合约安全检测技术。

(2)人工深度代码检测

对于区块链应用中的智能合约以及链下业务系统端(Web、APP)安全性的保证,还可以通过人工深度代码检测的方式(包括核心代码审查及攻防测试)。对于智能合约代码检测人员,需要熟悉各种智能合约的代码编写规律,精确发现代码级别漏洞,并提供改进意见,出具专业的智能合约安全审计报告,有效地保障合约代码的安全性。

4.2 运行阶段

4.2.1 区块链应用安全态势感知

在区块链应用的运行阶段,也需要实时了解是否有安全风险。运用区块链应用安全态势感知技术方法可以有效地解决此类问题。

区块链应用安全态势感知主要面向区块链上特有的交易风险及安全威胁的可视化态势感知和安全管控,以区块链上数据收集、关联分析挖掘为核心,解决现有区块链全局视角缺乏统一安全监管,无法挖掘有价值的安全威胁的诉求。

首先,对区块链上应用进行7×24小时的实时安全风险及运营情况进行监控,之后对链上交易和威胁情报数据的综合关联分析,自动发现风险交易和安全威胁事件,对事件进行评级,之后再对预警和报警事件按照发生位置、影响范围、危害程度等条件进行分类,并且将事件精准推送给用户,用户在收到预警或告警后,可运用态势感知中的防火墙模块进行有效地处置。打造一个“安全监测→安全分析→安全预警与告警→安全响应及处置→安全态势呈现”的闭环安全流程,如图2所示。

4.2.2 区块链威胁情报推送

区块链威胁情报推送也是保障区块链整体运行阶段安全的有效思路。通过各种渠道(包括互联网开源情报、第三方安全情报,链上威胁情报信息等)收集区块链安全相关的情报信息及数据,自动聚合开源情报,对情报进行详细地解析,根据用户画像建立针对用户的威胁情报分析模型,实时推送与用户相关的威胁情报,并做好情报管理,便于用户提前做好相关安全防护。

4.3 监管阶段

4.3.1 建立整体虚拟资产风控体系

针对各类虚拟资产犯罪行为,可采用建立整体虚拟资产风控体系的方式进行解决。虚拟资产风控体系内容主要包含持续性风险评估、溯源追踪及调查取证、风险实时自动告警以及整体风险态势呈现。

(1)持续性风险评估。建设KYT(Know Your Transactions)及持续性风险评估的能力,通过对链上海量交易信息进行深入地分析,就能够得出账户和地址之间的关系、交易之间的关系以及账户地址和交易之间的关系[9],再利用积累的海量实体地址库和机器学习异常行为建模技术识别并深入评估风险资金来源去向、风险账户及风险交易。

(2)溯源追踪及调查取证。深入调查虚拟资产交易活动的实体来源和去向,生成资金溯源追踪的可视化拓扑图,并提供详细的调查取证报告。

(3)风险实时自动告警。当监控到可疑的账户或交易风险,进行实时告警,可查看实时告警信息,并对风险账户进行及时进一步的调查及处理。

(4)整体风险态势呈现。为用户呈现整体的风险态势情况,用户从整体态势中可了解到风险账户Top 10,风险类型及风险级别分布以及交易风险的趋势等。

4.3.2 虚拟资产监管合规

世界各国对于虚拟资产的监管也愈发严格,2019年6月,金融行动特别工作组FATF发布了对VASP的监管标准。对于评估各国是否已经采取必要行动来部署虚拟资产的相关监管标准,FATF已达成一致。FATF强调:鉴于虚拟资产行业的全球性,各国必须即刻实施这些要求,特别是要了解风险并确保对该行业的有效监督。G20领导人、财长和央行行长已经宣布将遵守FATF的虚拟资产合规标准要求,即将遵守虚拟资产反洗钱和打击非法金融交易的相关规定。

如若各类虚拟资产服务商需要进行持续性地经营和发展,则必须要满足FATF以及各国管辖区内的对虚拟资产的监管要求。建立整体的虚拟资产的风控体系可有效满足各类针对虚拟资产服务商的合规要求,如图3所示。

5 区块链生态安全未来展望

基于本文区块链全生态的安全解决方案,以及对整个行业生态的洞察,提出对区块链生态安全的未来展望:运用深度学习技术加强对区块链虚拟资产风控及威胁情报推送能力。

人工智能分析技术已日益成熟,已经有各个领域的成熟应用场景。目前,深度学习在无人驾驶、语音识别、文本识别、图像分类、目标检测与人脸识别领域已经得到了充分的应用。

深度学习也可以应用在区块链虚拟资产风控的应用场景中。MIT-IBM 沃森人工智能实验室已经将图卷积神经网络算法(Graph Convolutional Network,GCN)使用在比特币反洗钱领域中[10],基于分析出的海量链上地址标签,运用GCN算法等深度学习技术,研究针对区块链地址的聚类和分类模型,经过多轮的训练后,形成自动识别地址和实体映射关系的深度学习模型,实现高效的虚拟资产风控模型,如图4所示。

在威胁情报推送方面,除了互联网、及第三方情报源,可运用神经网络深度学习技术有效地对各类与用户有关的威胁情报进行文本解析、摘要生成、关联分析等,建立针对用户的威胁情报分析模型,定向推送出高精确度的威胁情报。

6 结束语

区块链生态的安全问题愈演愈烈,为了区块链生态健康长远的发展,应加强区块链安全监管,规避风险,为场景落地应用过程提供一个安全可靠的环境[11]。同时,加强区块链生态安全的创新能力,不断研究新的技术方向,为区块链生态安全提供更加强有力的技术支撑。

参考文献

[1] 王锡亮,刘学枫,赵淦森,王欣明,周子衡,莫泽枫.区块链综述:技术与挑战[J].无线电通信技术,2018,44(06):531-537.

[2] 杨霞,魏凯,卿苏德,等.区块链安全白皮书.[EB/OL].可信区块链推进计划,2018,12:03-04.

[3] 区块链安全白皮书.[EB/OL].中国信息通信研究院/中国通信标准化协会,2018,09:05-08.

[4] 何宝宏,魏凯,杨霞,等.公有链白皮书.[EB/OL].可信区块链推进计划,2019,05:01.

[5] 何宝宏,魏凯,杨霞,等.公有链白皮书.[EB/OL].可信区块链推进计划,2019,05:02.

[6] 赵甜,魏昂,周鸣爱.区块链安全发展现状、问题与对策研究. [J].网络空间安全,2019(11):22.

[7] 王继辉.区块链与智能合约图谱分析[J].网络空间安全, 2019(11):01.

[8] 邱欣欣,马兆丰,徐明昆.以太坊智能合约安全漏洞分析及对策[J].信息安全与通信保密,2019(02):44-53.

[9] Zyskind G,Nathan 0.Decentralizing privacy:using blockchain to protect personal data[C].∥IEEE Security and Privacy Workshops.2015:180-184.

[10] Mark Weber,Daniel Karl I. Weidele,Giacomo Domeniconi. Anti-Money Laundering in Bitcoin: Experimenting with Graph Convolutional Networks for Financial Forensics[J].IBM 2019(07):03-04.

[11] 張滨.区块链安全风险研究[J].电信工程技术与标准化, 2017,30(11):1-5.

作者简介:

杨霞(1978 -),女,汉族,四川成都人,电子科技大学,副教授;主要研究方向和关注领域: 区块链安全技术。

猜你喜欢

深度学习
从合坐走向合学:浅议新学习模式的构建
面向大数据远程开放实验平台构建研究
基于自动智能分类器的图书馆乱架图书检测
搭建深度学习的三级阶梯
有体验的学习才是有意义的学习
电子商务中基于深度学习的虚假交易识别研究
利用网络技术促进学生深度学习的几大策略
MOOC与翻转课堂融合的深度学习场域建构
大数据技术在反恐怖主义中的应用展望
深度学习算法应用于岩石图像处理的可行性研究