[发明专利]基于网络嵌入相似性的区块链智能合约安全漏洞检测方法

说明书

本发明公开了基于网络嵌入相似性的区块链智能合约安全漏洞检测方法，包括以下步骤：基于区块链智能合约的智能合约源码，进行信息提取，获得初始数据集；基于初始数据集的段落结构，构建子网络模型，进而构建代码网络模型，基于网络嵌入相似性特征，对代码网络模型进行若干次迭代训练，获得初始区块链智能合约安全漏洞检测模型；基于初始区块链智能合约安全漏洞检测模型和初始数据集，通过逻辑回归模型、随机森林模型以及线性支持向量机模型进行训练，得到目标区块链智能合约安全漏洞检测模型，进而对所述区块链智能合约的安全漏洞进行检测；本发明可以综合检测重入性漏洞、整数溢出漏洞以及逻辑错误漏洞，提高了智能合约代码安全漏洞的检测效率。

技术领域

本发明涉及到网络空间安全技术领域，尤其涉及到基于网络嵌入相似性的智能合约安全漏洞检测方法。

背景技术

智能合约是以太坊的重要技术之一，是一种特殊协议，旨在提供、验证和执行合约。智能合约是区块链被称之为“去中心化的”重要原因，它允许我们在不需要第三方的情况下，执行可追溯、不可逆转和安全的交易。智能合约上包含了交易所需的所有信息。只有在满足条件之后才会产生结果。同时，智能合约是价值传递的实现方式，每一位位于智能合约中的数字都有着巨大的价值。

2018年4月，美链(BEC)合约安全事件导致了大量的代币BEC流入市场，继而海量的BEC代币被抛售。给BEC市场交易带来毁灭性的打击。技术层面上来说，BEC事件就是智能合约技术中的整数溢出 (overflow)安全漏洞。近年来，市场对于智能合约安全漏洞的关注度持续升高。现阶段智能合约安全漏洞检测还是依靠于专业技术专家来实现人工检查，这种检测方式耗时耗力，并且对于各种安全漏洞的准确检测存在着一定的难度。

据专利号为：CN111488582A的《一种基于图神经网络的智能合约重入性漏洞检测方法》的描述。该专利中很好地利用了图神经网络实现对于重入性漏洞的自动检测。但是依旧存在问题。该发明中所构建的图神经网络使用callgraph来实现函数调用关系的网络构建，网络的节点是代码当中所涉及到的各个函数。本发明中构建全连子网络，按照智能合约代码顺序连接而成的大型代码网络。子网络使用的是类似于自然语言的处理方式，分段落进行全连子网络的构建。全连子网络中的各个节点是代码中的有价值的词汇，节点数量明显要多于其他结构的网络。使得子网络中含有更加完备的信息。这种由全连子网络，按照智能合约代码顺序的方式连接而成的代码网络，网络结构更加细致明确，网络规模更大，信息在网络中传递更加的顺畅，无需考虑函数之间的调用关系。并且可以有效地对重入性漏洞、整数溢出漏洞以及逻辑错误漏洞做到综合性检测。适用性更高。

进一步的，对于本发明可以重点识别的几个漏洞来说，各自的特性如下：(1)重入性漏洞：此漏洞一般主要是由于智能合约代码编写过程中的人为疏漏导致的。当合约将以太币发送至未知地址的时候，可能会发生此攻击。攻击者可以在外部地址小心地构建合约，该地址包含fallback函数中的恶意代码。因此，当合约将以太币发送至此地址时，将激活恶意代码。并且，可以重复地进行取款操作直到合约中的gas值为零为止。(2)整数溢出漏洞：在区块链的编程语言 solidity中，变量支持的整数类型步长以8递增，支持从uint8到unit256。一个unit8类型，表示储存范围为：0-(2⁸-1)),也就是[0,256] 之间，而unit256类型表示数字的范围为：0-(2²⁵⁶-1)。

以太坊虚拟机中一个整型变量只能是一定范围内的数字，当超出这一范围的时候就会出现整数溢出的现象。攻击者就是利用这一原理，将合约amount值(转账总金额)溢出。从而达到在不改变转账人的余额条件下，获取大量的以太币。(3)逻辑错误漏洞：这是一系列逻辑有问题的漏洞的合称，此类漏洞出现的原因基本上都是由于合约编写人员以及审查人员的疏忽，导致合约代码出现严重的逻辑问题。

发明内容