[发明专利]一种基于规则引擎的智能合约安全评测方法

说明书

本发明公开一种基于规则引擎的智能合约安全评测方法，其包括如下步骤：获取目标智能合约，根据目标智能合约的语言规则生成语法分析器，所述的目标智能合约语言规则不带有歧义性语句；使用S1生成的语法分析器分析所述的目标智能合约，生成合约语法树；并自定义智能合约漏洞规则引擎的规则库；使用智能合约漏洞规则引擎不断遍历扫描S2的合约语法树，得到规则库中每条规则的扫描结果；对S3获得的规则扫描结果进行标准评测，得到最终的评测结果。本发明解决了智能合约在部署到区块链之前的安全风险难以察觉的问题，实现了智能合约开发到区块链应用的漏洞隐患的检测与防护。

技术领域

本发明涉及智能合约的安全评测领域，具体涉及一种基于规则引擎的智能合约安全评测方法。

背景技术

目前现有的智能合约安全评测方法，主要包括如下几种：基于形式化验证的安全评测方法、基于符号执行与符号抽象的安全评测方法；基于机器学习与深度学习的安全评测方法；其中，基于形式化验证的方法，本质是一个基于数学模型的验证方法，其是通过将智能合约的程序源码转化成特定的数学模型，将合约代码所需要满足的要求作为性质进行证明，即通过数学语言描述合约代码，并证明其满足特定性质，该方法在具体编码实现过程中，通常需要将智能合约源码转化成某种可直接进行形式化验证的中间语言，或者进行数学建模、定义形式化规则。

基于符号执行、符号抽象的方法，其基础均是构建程序的Control Flow Graph(控制流程图)。基于控制流程图的基础上，符号执行的方法通过跟踪程序的每一个执行流程来进行检验，而符号抽象的方法，则是通过解耦合约代码的模块，对解耦后的模块进行校验分析。目前常见的应用该方法的应用及产品有Mythril、Oyenete、Securify，其存在一定的误报率、检测时间较长(单个合约30-60秒)。

基于机器学习、深度学习的安全评测方法，其理论基础是基于机器学习、深度学习的代码漏洞检测模型，通过对程序代码构建数值型特征作为模型输入，来完成对模型的训练。该方法存在数据集缺失以及模型检测率不高等缺陷。

智能合约是可编程的数字形式的协议，其由特定的合约语言编码而成，合约语言满足图灵完备，通过编译、部署形成可执行的程序。智能合约主要实现区块链上的数据存储、读写以及一些逻辑操作，因此，一些基于区块链的应用是利用智能合约完成的。然而，智能合约作为区块链应用开发中的主要技术，当智能合约一旦部署到区块链上之后无法修改，导致了因智能合约产生的安全漏洞极大影响区块链应用的可靠性。

发明内容

针对现有的智能合约漏洞检测技术的不足，本发明提出一种基于规则引擎的智能合约安全评测方法，具体技术方案如下：

一种基于规则引擎的智能合约安全评测方法，其特征在于，该方法包括如下步骤：

S1：获取目标智能合约，根据目标智能合约的语言规则生成语法分析器，所述的目标智能合约语言规则不带有歧义性语句；

S2：使用S1生成的语法分析器分析所述的目标智能合约，生成合约语法树；并自定义智能合约漏洞规则引擎的规则库；

S3：使用智能合约漏洞规则引擎不断遍历扫描S2的合约语法树，得到规则库中每条规则的扫描结果；

S4：对S3获得的规则扫描结果进行标准评测，得到最终的评测结果。

进一步地，所述的S1中的语法分析器为ANTLR语法分析器。

进一步地，所述的S4中采用CVSS3.0统一漏洞评分标准分析S3获得的规则扫描结果。

进一步地，所述的S3中的合约语法树满足树状数据结构，其每个节点都作为智能合约的独立句法结构。

进一步地，所述的S3中使用智能合约漏洞规则引擎不断遍历扫描S2的合约语法树时，若规则有匹配中的，则认为合约触碰该条规则，记录合约的代码行号、漏洞代码以及该条规则的详细信息。