(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111513734.6 (22)申请日 2021.12.13 (71)申请人 北京雁翎网卫智能科技有限公司 地址 100081 北京市海淀区中关村南大街 乙12号院1号楼7层812-2 (72)发明人 刘宇航　陈夏润　肖遥　杨洲　 胡叶舟　方莹　刘军杰　 (74)专利代理 机构 北京万象新悦知识产权代理 有限公司 1 1360 代理人 李稚婷 (51)Int.Cl. G06Q 20/38(2012.01) G06Q 20/40(2012.01) G06N 20/00(2019.01) (54)发明名称 一种基于静态特征和动态插桩的区块链交 易监测方法及系统 (57)摘要 本发明公开了一种基于静态特征和动态插 桩的区块链交易监测方法及系统， 通过交易数据 静态语义分析以及交易重放动态执行检测的方 式， 最大程度地降低恶意交易的检测误报率， 更 准确地区分恶意交易和正常交易行为， 并通过智 能合约虚拟 机插桩和动态污点分析的方法， 检测 交易中敏感数据的传播行为； 同时利用了机器学 习的方法， 分析了恶意交易行为和正常交易行为 通过系统动静态的方法检测后的返回结果， 并增 加了最后的研判阶段， 可以有效判断该交易是否 为恶意交易。 本发明可检测区块链相应智能合约 的交易， 并辅助了机器学习算法采用静态特征分 析和动态执行检测结合分析的方式有效提高检 测准确率， 对于提升 检测准确度有着显著效果。 权利要求书2页 说明书7页 附图2页 CN 113919841 A 2022.01.11 CN 113919841 A 1.一种区块链 交易监测方法， 包括交易数据提取与解析阶段、 交易数据静态检测阶段、 交易数据动态执 行测试阶段、 交易确认与上报阶段， 具体执 行步骤如下： 1) 运行区块链主网络节点 客户端， 对要监测的智能合约地址进行收集； 2) 监测将要验证确认的交易， 提取其中from或者to 地址为目标智能合约地址的交易； 3) 解析交易的I nput Data字段， 对应相关智能合约获取调用函数和参数； 4) 将步骤3） 获得的调用函数和参数放入智能合约的恶意交易静态检测规则中进行匹 配， 如果有 恶意交易特 征则进行步骤5； 5) 将静态检测中存有恶意交易特征的交易放入系统中本地运行的节点网络 中进行广 播； 6) 通过虚拟机动态插桩和动态污点分析的方法， 对执行过程中的合约状态进行监测， 同时将最后事件日志和交易结果进行提取解析， 与既定的正常和恶意的交易特征规则进 行 匹配； 7) 将步骤4） 和步骤6） 中对该交易的分析结果返回， 通过机器学习辅助规则匹配分析 结果， 研判是否存在恶意行为； 8) 将研判后确认为恶意交易的交易上报给监测系统的使用者和管理员， 进行 预警。 2.如权利要求1所述的区块链交易监测方法， 其特征在于， 步骤1） 中要监测的智能合约 地址包括资金量较大的De Fi合约项目地址和NFT合约项目地址 。 3.如权利要求1所述的区块链交易监测方法， 其特征在于， 步骤4） 中所述恶意交易静态 检测规则中的恶性交易特征包括： 整数溢出交易行为、 超额借贷行为、 敏感函数调用行为、 巨额资金流动行为和敏感用户资金流动行为。 4.如权利要求1所述的区块链交易监测方法， 其特征在于， 步骤6） 中所述虚拟机动态插 桩包括指令级插 桩、 函数级插 桩、 合约级插 桩以及交易级插 桩， 其中： 指令级插桩， 对每一个op指令执行前后进行插桩， 分别设置beforeOp和afterOp回调函 数供编写实现相应测试规则； 函数级插桩， 执行每一个函数前后进行插桩， 分别设置beforeFunc和afterFunc回调函 数供编写实现相应测试规则； 合约级插桩， 执行每一个合约前后进行插桩， 分别设置beforeContract和 afterContract回调函数 供编写实现相应测试规则； 交易级插桩， 对每一个交易执行前后进行插桩， 分别设置be foreTX和afterTX回调函数 供编写实现相应测试规则。 5.如权利要求1所述的区块链交易监测方法， 其特征在于， 在步骤6） 中， 动态污点分析 方法辅助虚拟机动态插桩， 在动态污点分析中对堆栈、 内存、 输入参数分配污点标签， 通过 虚拟机动态插桩的方式， 在相应的回调函数中对污点标签进行查看和判断， 如果有污染到 程序控制流或者敏感重要的全局变量， 将返回具体的程序执 行点和涉及变量。 6.如权利要求1所述的区块链交易监测方法， 其特征在于， 在步骤7） 中， 机器学习对每 个交易的静态检测和动态执行测试结果进行标签， 使用SVM算法实现对正常交易和恶意交 易的区分。 7.一种区块链交易监测系统， 包括交易数据提取与解析子系统、 交易数据静态检测子 系统、 交易数据动态执 行测试子系统以及交易确认与上报子系统， 其中：权　利　要　求　书 1/2 页 2 CN 113919841 A 2交易数据提取与解析子系统包括交易数据提取模块和 交易数据解析模块， 其中， 交易 数据提取模块用于提取与目标智能合约相关的交易的from地址、 to地址、 Input  Data字段 以及value值； 交易数据解析模块用于解析交易数据Input  Data字段为相应的函数以及传 入的参数信息； 交易数据静态检测子系统包括全局状态获取模块和静态规则匹配模块， 其中， 全局状 态获取模块用于获取区块链当前合约下的全局状态， 包括 持有者地址、 余额； 静态规则匹配 模块中集成了各种资金流失类恶意交易的行为特征， 用于匹配恶意交易数据特征， 分析是 否存在有 恶意行为； 交易数据动态执行测试子系统包括交易重放模块、 虚拟机动态插桩模块和动态污点分 析模块， 其中， 交易重放模块用于在本地的动态测试区块链环境重放疑似恶意的交易； 虚拟 机动态插桩模块用于对智能合约中的指令前后进行Hook， 生成相应的回调 函数， 分析所执 行的指令行为， 同时对智能合约中的事件的生 成进行Hook， 生 成相应的回调函数， 分析新生 成事件的结果， 与指 令行为进 行比对； 动态污点分析模块用于检测污点数据的传播路径， 支 持不同智能合约相互调用间的污点传播； 交易确认与上报子系统包括恶意交易研判确认模块和恶意交易上报模块， 其中， 恶意 交易研判确认模块用于采集和分析交易数据静态检测子系统与 交易数据动态执行测试子 系统生成的恶意交易信息， 最后通过机器学习辅助规则匹配的方式生成判断结果； 恶意交 易上报模块用于上报经 过系统确认过的恶意交易， 并通知到系统的使用者。权　利　要　求　书 2/2 页 3 CN 113919841 A 3