基于智能合约的以太坊可信存证机制

针对以太坊平台提供的数据管理功能简单且存在低吞吐率和高延迟的问题，提出一种基于智能合约的以太坊可信存证机制。首先针对以太坊平台暴露的数据管理问题提出一个基于智能合约的以太坊可信存证框架，然后通过集中化数据统一处理、认证数据分布式存储以及高效动态取证这几个方面阐述所提机制的框架和实现，最后通过基于智能合约的系统开发表明了该机制的可实现性。实验及分析结果表明，该方法与传统关系数据库存证相比，增加了处理可信性、存储可信性和访问可信性；与区块链存证相比，丰富了数据管理功能、降低了区块存储成本、提高了存证效率。     

基于区块并行的以太坊智能合约高速重放

分析和研究以太坊上的区块、交易、账户和智能合约数据具有巨大价值,但是以太坊数据量大、数据种类多、存储结构各异,当前数据获取方法的获取速度慢而且获取的数据不全,因此充分利用这些数据非常困难。文中提出了基于区块并行的以太坊数据快速导出工具Geth-query,通过分析以太坊内部机制,利用区块世界状态快照消除区块之间的依赖关系,优化本机资源利用效率并行重放区块,实现了快速而全面地提取以太坊链上数据。实验证明,Geth-query提取的数据种类丰富,数据导出速度相比传统方法提升了10倍左右。为了使用方便,文中同时对导出的数据进行存储优化,并在前端页面进行数据展示,从而为分析和研究以太坊提供了数据基础。     

以太坊智能合约的漏洞自动化修复技术研究

以太坊等公链上的智能合约可以实现各种去中心化应用,但频发的安全事件导致用户的财产遭受威胁。智能合约安全问题极大地影响用户对去中心化应用的信任度,且链上信息具有不可篡改的特性,使得智能合约在部署前的安全审计和漏洞修复过程必不可少,但当前的安全研究大多聚焦于智能合约漏洞检测技术。文章首先介绍了智能合约相关背景并比较了其与传统应用程序的差异,提出了包含漏洞识别和补丁生成两大关键步骤的智能合约部署前漏洞自动化修复流程,然后分析并阐述了常见的漏洞类型和漏洞检测技术,深入讨论了基于字节码和源码生成智能合约常见漏洞补丁的研究进展,最后对智能合约漏洞补丁生成技术面临的有效性、成本、可扩展性等性能问题以及漏洞自动修复技术的未来方向进行了展望。     

基于智能合约的以太币投票协议

Zhao等人提出了一个比特币投票协议,使得n个投票人能够通过投票决定两个候选人中的一个接受比特币资助.投票人首先通过秘密分享、承诺和零知识证明生成各自的投票,再通过比特币交易完成投票和比特币资助,保护了投票人的隐私.此文的工作支持n个投票人生成关于m个候选人的一般性投票,并通过智能合约完成了投票和以太币资助,同样不泄露投票人的隐私.同时,该智能合约不依赖门限签名等体制,更为高效,合约的主要业务逻辑也在检测模型工具中进行了检测.     

以太坊智能合约模糊测试技术研究综述

运行在区块链平台之上的智能合约,完成了不同参与者之间协议的达成和自动执行,同时也管理了大量的数字资产,智能合约漏洞的频繁爆出,造成了难以估量的经济损失。模糊测试是一种有效的动态漏洞检测技术,已经被应用于智能合约安全研究。文中分析了现有综述工作对智能合约模糊测试的总结不足的问题,并提出了智能合约模糊测试的基本框架;以目前智能合约安全研究中最广泛的以太坊智能合约为例,介绍了与智能合约紧密相关的账户机制和交易结构,总结了智能合约区别于传统程序的特点;阐述了智能合约的漏洞,并对这些智能合约模糊测试技术覆盖的漏洞进行了比较;进一步地,从单交易和交易序列两个方面对已有智能合约模糊测试技术的输入生成进行了分析;从函数层面、交易层面和交易序列层面对测试输入变异进行了总结;对已有智能合约模糊测试技术的测试预言使用进行了简述;另外,还总结了智能合约模糊测试的技术评价指标。最后,提出了当前智能合约模糊测试技术研究面临的问题,并对未来的研究方向进行了展望。     

ContractGuard：面向以太坊区块链智能合约的入侵检测系统

以太坊智能合约本质上是一种在网络上由相互间没有信任关系的节点共同执行的已被双方认证程序。目前,大量的智能合约被用于管理数字资产,使智能合约成为黑客的重要攻击对象。常见的攻击方法是通过利用智能合约的漏洞来实现特定操作的入侵攻击。ContractGuard 是首次提出面向以太坊区块链智能合约的入侵检测系统,它能检测智能合约的潜在攻击行为。ContractGuard 的入侵检测主要依赖检测潜在攻击可能引发的异常控制流来实现。由于智能合约运行在去中心化的环境以及在高度受限的环境中运行,现有的IDS技术或者工具等以外部拦截形式的部署架构不适合于以太坊智能合约。为了解决这些问题,通过设计一个嵌入式的架构,实现了把 ContractGuard 直接嵌入智能合约的执行代码中,作为智能合约的一部分。在运行时刻,ContractGuard通过相应的context-tagged无环路径来实现入侵检测,从而保护智能合约。由于嵌入了额外的代码,ContractGuard一定程度上会增加智能合约的部署开销与运行开销,为了降低这两方面的开销,基于以太坊智能合约的特性对 ContractGuard 进行优化。实验结果显示,可有效地检测 83%的异常行为,其部署开销仅增加了36.14%,运行开销仅增加了28.17%。     

一种基于运行时信息的以太坊智能合约防御技术

智能合约是区块链技术最成功的应用之一,已经被广泛集成到应用程序中,成为应用去中心化的常见实现方案.然而,智能合约由于其独有的金融特性,一直以来饱受安全攻击,各种新的恶意攻击类型层出不穷.现有的研究工作提出了多种有效检测合约漏洞的方法,但在实际应用中都存在着各种局限：仅针对已知的漏洞类型,需要修改合约代码来消除漏洞,链上开销过大.由于智能合约部署到链上后的不可修改性,这些针对特定漏洞类型的检测防御手段无法对原有的合约进行修复,因此很难及时地应对新型的漏洞和攻击.为此,提出了一种基于运行时信息的智能合约可升级防御技术,通过引入运行时的各种信息,为链下对攻击和漏洞的检测提供实时的数据.同时,设计了一套部署在合约上的访问控制机制,基于动态检测的结果,对合约的访问进行限制,从而在不需要修改合约代码的情况下实现动态的防御.由于以太坊本身的机制无法对实时攻击进行识别和拦截,为了减小这一影响,利用竞争(race condition)的机制来增强防御的效果.实验结果分析表明：该防御技术可以有效地检测并防御攻击,对于后续的攻击交易,可以实现100%的拦截成功率,对于首次检测到的实时攻击,利用竞争可以达到97.5%的成功率.     

基于XGBoost的以太坊交易智能定价模型

以太坊采用交易收费的策略来保证计算资源的合理利用,而由于涉及智能合约的交易消耗计算资源差别较大,引入Gas机制。以太坊用户在发起交易时需自主设置Gas总量和Gas价格,而矿工基于利益最大化的原则,优先选择Gas价格高的交易。Gas价格设置高则打包时间短,反之则时间长。由于交易的价格由交易发起者自主确定,这使得需要打包的交易的Gas价格可能相差较大,因而交易共识时间难以掌握。因此,现有的交易机制并不能平衡交易Gas成本和共识时间之间的冲突。为了解决上述问题,对以太坊交易机制进行了研究,分析影响Gas价格的因子,通过网格搜索算法对极端梯度增强模型（extreme gradient boosting,XGBoost）进行参数优化,构建基于XGBoost的以太坊交易智能定价模型,将该模型用于交易Gas价格预测中。通过搭建节点接入以太坊网络获取交易数据作为实验数据,实验结果表明,ETH＿XGB模型能够帮助用户平均节省约72.5%的交易成本,交易成功率在92%,相较于原机制提高17.1%。     

基于以太坊的物联网可伸缩信息共享机制

针对物联网(IoT)信息共享中存在缺乏信用保障机制以及信息孤岛问题,设计一种基于以太坊的物联网可伸缩的信息共享机制框架。提出基于智能合约机制的信息共享处理流程,采用设备管理器管理物联网设备,以增强机制的可伸缩性。实验基于以太坊平台,分别对机制的信息交易处理能力和可伸缩性进行验证。结果表明该共享机制具有良好的可伸缩性,信息共享的交易吞吐量达到10 000条/s,交易延时为毫秒级。     

以太坊Solidity智能合约漏洞检测方法综述

以太坊Solidity智能合约基于区块链技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础.虽然落地还不足6年,但因其安全漏洞事件频繁爆发,且造成了巨大的经济损失,使得其安全性检查方面的研究备受关注.首先基于以太坊相关技术对智能合约的一些特殊机制和运行原理进行介绍,并根据智能合约...     

基于深度学习的源代码缺陷检测研究综述

源代码缺陷检测是判别程序代码中是否存在非预期行为的过程,广泛应用于软件测试、软件维护等软件工程任务,对软件的功能保障与应用安全方面具有至关重要的作用.传统的缺陷检测研究以程序分析为基础,通常需要很强的领域知识与复杂的计算规则,面临状态爆炸问题,导致检测性能有限,在误报漏报率上都有较大提高空间.近年来,开源社区的蓬勃发展积累了以开源代码为核心的海量数据,在此背景下,利用深度学习的特征学习能力能够自动学习语义丰富的代码表示,从而为缺陷检测提供一种新的途径.搜集了该领域最新的高水平论文,从缺陷代码数据集与深度学习缺陷检测模型两方面系统地对当前方法进行了归纳与阐述.最后对该领域研究所面临的主要挑战进行总结,并展望了未来可能的研究重点.     

基于数据流传播路径学习的智能合约时间戳漏洞检测

智能合约是一种被大量部署在区块链上的去中心化的应用. 由于其具有经济属性, 智能合约漏洞会造成潜在的巨大经济和财产损失, 并破坏以太坊的稳定生态. 因此, 智能合约的漏洞检测具有十分重要的意义. 当前主流的智能合约漏洞检测方法(诸如Oyente和Securify)采用基于人工设计的启发式算法, 在不同应用场景下的复用性较弱且耗时高, 准确率也不高. 为了提升漏洞检测效果, 针对智能合约的时间戳漏洞, 提出基于数据流传播路径学习的智能合约漏洞检测方法Scruple. 所提方法首先获取时间戳漏洞的潜在的数据传播路径, 然后对其进行裁剪并利用融入图结构的预训练模型对传播路径进行学习, 最后对智能合约是否具有时间戳漏洞进行检测. 相比而言, Scruple具有更强的漏洞捕捉能力和泛化能力, 传播路径学习的针对性强, 避免了对程序整体依赖图学习时造成的层次太深而无法聚焦漏洞的问题. 为了验证Scruple的有效性, 在真实智能合约的数据集上, 开展Scruple方法与13种主流智能合约漏洞检测方法的对比实验. 实验结果表明, Scruple在检测时间戳漏洞上的准确率, 召回率和F1值分别可以达到0.96, 0.90和0.93, 与13种当前主流方法相比, 平均相对提升59%, 46%和57%, 从而大幅提升时间戳漏洞的检测能力.     

一种基于BP神经网络的代码相似性检测方法

如何有效地检测程序设计课程作业中的抄袭现象是一个重要的问题。传统的抄袭检测方法主要利用代码的属性或结构信息来度量代码之间的相似性。给出了一种基于误差反向传播(BP算法)多层前向神经网络的代码抄袭检测方法。提取程序之间的7种比较特征作为神经网络的输入,经过网络计算后得出程序的相似值,并将该值与抄袭决策阈值相比较以判定存在抄袭现象的程序集。实验结果表明,本方法具有很好的检测效果。     

基于数据流分析的二进制代码程序理解方法

通过数据流分析将程序转换成数据流描述标记,结合数据流到达-定值分析,确定每个基本块的输入、输出定值集合,推导出函数输入与输出间的联系,实现函数功能的静态理解。实验结果表明,在不需要额外提示的情况下,该方法能准确识别二进制形式的字符串拷贝等字符串处理函数。     

基于预训练模型和多层次信息的代码坏味检测方法

目前已有的代码坏味检测方法仅依赖于代码结构信息和启发式规则, 对嵌入在不同层次代码中的语义信息关注不够, 而且现有的代码坏味检测方法准确率还有进一步提升的空间. 针对该问题, 提出一种基于预训练模型和多层次信息的代码坏味检测方法DeepSmell, 首先采用静态分析工具提取程序中的代码坏味实例和多层次代码度量信息, 并...     

基于卷积神经网络的JavaScript恶意代码检测方法

机器学习的JavaScript恶意代码检测方法在提取特征过程中耗费时间和人力,以及这些频繁使用的机器学习方法已经无法满足当今信息大爆炸的实际需要。提出了一种基于卷积神经网络的JavaScript恶意代码检测方法。采用爬虫工具收集良性和恶意的JavaScript脚本代码获得样本数据;将JavaScript样本转换为相对应的灰阶图像,得到图像数据集;通过构建卷积神经网络模型对图像数据集进行训练,使得模型具有检测JavaScript恶意代码的能力。实验结果表明,相对于机器学习,该方法对收集到的5 800条JavaScript代码样本,检测准确率达到98.9%。     

Electronic Auction Scheme Based on Smart Contract and IPFS

Sealed-bid auctions are a vital transaction tool in the e-commerce field. Traditional centralized auction schemes typically result in severe threats to data integrity,information transparency,and traceability owing to their excessive reliance on third parties,and blockchain-based auction schemes generally suffer from high storage costs and are deficient in functional and architectural design. To solve these problems,this study presents a sealed-bid auction scheme that removes the third-party bas...     

基于插桩和布尔逻辑的运行时程序验证框架

针对软件测试和静态程序验证中存在的连续性程序执行验证和推理问题,提出一个基于程序插桩和布尔逻辑的运行时程序验证框架——RPA。定义一种用于描述运行时程序性质和规范的动态逻辑语言RPAL,实现自动化插桩以收集运行时程序状态信息,设计一个支持高效验证的句子调度算法。实验结果表明,结合合适的谓词扩展,RPA可以有效地验证和分析软件逻辑,发现潜在的软件错误。     

基于区块链和智能合约的财务管理系统建设

财务管理是企业信息化建设中的一个核心环节,也是企业进行人力资源管理、业务流程控制与资金风险预判的重要依据.区块链技术的出现为企业进行财务管理系统的设计和改进提供了一种全新的设计思路,利用区块链技术本身所具有的去中心化和不可篡改的特性,可以保证企业财务管理系统中各类成本、支出、决算等数据的安全性和真实性.该文以区块链技术...