[发明专利]一种基于RASP的智能合约虚拟机漏洞检测系统及方法

说明书

本发明实施例提供了一种基于RASP的智能合约虚拟机漏洞检测系统及方法，涉及漏洞检测领域，上述系统包括：安全策略模块以及HOOK模块；安全策略模块用于基于现有区块链安全事件构建敏感函数集；HOOK模块用于对敏感函数集中的进行标记并结合现有区块链安全事件，对造成危害的异常行为进行记录以生成第一异常记录日志；安全策略模块用于基于第一异常记录日志构建安全执行规则集；HOOK模块用于开启RASP引擎以将智能合约字节码载入合约虚拟机并基于安全执行规则集以及智能合约字节码对漏洞进行处理。通过本发明提提供的系统及方法，可以缓解现有技术中对智能合约的漏洞检测用针对形式化验证存在的效率低、成本高、适用性弱、建模难度大准确率低等问题。

技术领域

本发明涉及漏洞检测的技术领域，尤其是涉及一种基于RASP的智能合约虚拟机漏洞检测系统及方法。

背景技术

目前的智能合约漏洞检测方法，包括以下几种：

Russell DW提出基于规则知识库的语法检查，将原始编码文件，通过内置编译工具，对合约构建一棵基于BNF范式基础上的抽象语法树(AST)，对合约进行简单的安全识别。但是基于语法的安全检查规则仅能静态识别合约缺陷，无法实现对未知安全风险的识别。

基于语义分析的交易模型识别与安全检查主要通过上下文相关审查，确定智能合约中不满足规则或者不安全的操作，以此排除由于人为书写智能合约带来的各种表层的逻辑缺陷，但无法解决动态执行过程中出现的各种逻辑错误，如书写代码不精确、不完备导致的合约组合条件情况处理的缺失。

基于AI的形式验证的智能合约安全性检查，使用人工智能方法自动识别程序语义并发现其中的典型模式，从而根据模式自行产生为了满足安全要求而需要的属性。当用户提供智能合约代码或编译后的执行代码后，AI引擎将自动完成代码的局部相似性匹配和全局相似性匹配，从而推测代码的行为模型。根据AI获得行为模型，生成对应的形式验证约束，从而进行深层次的行为验证，实现代码安全性。

上述方案大多数都是基于形式化验证(formal verification)，。形式化验证通过数学建模方法对系统进行描述，开发者对程序安全性进行事先审查，排除逻辑漏洞和安全漏洞，从而保证合约的安全。

然而，形式化验证方法存在一些缺陷。演绎验证无法实现完全自动化，验证的主要环节仍由工作人员完成，频繁的人机交互提高了运行成本。同时，严重降低运行效率，难以用于大规模系统验证；模型检测主要适用于有穷状态系统，搜索的可穷尽性依赖于合约的有穷状态模型，建模难度大，漏洞发现的准确率低。

针对形式化验证目前存在的效率低、成本高、适用性弱、建模难度大准确率低等问题，本发明从一个全新的角度，利用前期积累的区块链、大数据及网络安全相关研究成果，通过分析当前的漏洞类型，利用RASP技术这一应用运行时环境保护机制解决智能合约的漏洞检测问题，对于区块链安全的发展具有很强的理论意义和现实意义。

发明内容

有鉴于此，本发明的目的在于提供一种基于RASP的智能合约虚拟机漏洞检测系统，以缓解了现有技术中存在的对于漏洞检测效率低、成本高、适用性弱、建模难度大准确率低的技术问题。

本发明提供了一种基于RASP的智能合约虚拟机漏洞检测系统，包括：安全策略模块以及HOOK模块；

所述安全策略模块用于基于现有区块链安全事件构建敏感函数集并对所述敏感函数集中的敏感函数进行标记并基于第一异常记录日志构建安全执行规则集；

所述HOOK模用于对所述敏感函数集中的敏感函数进行标记并结合现有区块链安全事件，对造成危害的异常行为进行记录以生成第一异常记录日志以及开启RASP引擎以将智能合约字节码载入合约虚拟机并基于所述安全执行规则集以及智能合约字节码对漏洞进行处理。

另一方面，本发明提供了一种基于RASP的智能合约虚拟机漏洞检测系统的方法，按照如下步骤进行：