区块链应用预警防御方法、存储介质和电子设备与流程

1.本发明涉及区块链技术领域，具体为一种区块链应用预警防御方法、存储介质和电子设备。


背景技术：

2.近年来，区块链技术和产业在全球范围内快速发展，作为新兴数字产业之一，区块链在信任问题(如去中心化，不可篡改、按约定执行、防止抵赖等方面)存在先天的优势。而恰恰区块链的零信任机制使得针对区块技术开发的应用急需应对随时可能发生的网络诈骗和网络钓鱼问题。
3.针对区块链相关数字资产项目进行钓鱼的方式层出不穷，相关的诈骗攻击一直在发生，并且有成熟的产业链来部署攻击。黑客进行诈骗钓鱼攻击往往已呈现出规模化和批量化，通过制作一个钓鱼模版就可以批量复制出大量不同应用项目的钓鱼网站。在此背景下，提供一个能够帮助用户进行诈骗预警和钓鱼警报的系统就显得格外重要。
4.目前，针对钓鱼预警的方式往往是建立一个黑地址的数据库，需要不断的去维护和添加钓鱼网站地址、攻击者的收款地址等。当出现恶意地址匹配到来数据库则警会进行告。但是由于这种解决方案并不完善，往往会出现一个更新不及时造成的时间差。当新的钓鱼方式来临，用户在交易数字资产或者使用数字钱包进行购物交易只能凭借自身安全意识来识别诈骗攻击，这使得大量没有安全意识和对诈骗钓鱼技术不了解的用户很容易上当受骗，造成经济损失。


技术实现要素：

5.为此，需要提供一种区块链应用预警防御的技术方案，能够通过查询历史被黑记录中的钓鱼网站数据和黑客钱包地址来告警提醒用户，又能够针对新型诈骗网站和钓鱼的相关行为做出判断，用以解决现有的防钓鱼预警方式存在延时、效力不强等问题。
6.为实现上述目的，在第一方面，本发明提供了一种区块链应用预警防御方法，所述方法包括：
7.s1：监测当前用户终端是否触发操作场景，若是则执行步骤s11：采集所述操作场景下与当前用户终端交互的地址，判断所述与当前用户终端交互的地址是否为恶意地址；
8.若步骤s11判定为否，则执行步骤s21：根据所述操作场景确定当前用户终端所处的环境参数，判断所述当前用户终端所处的环境参数与预设环境参数是否匹配；若步骤s21判定为是，则进入步骤s211：对所述与当前用户终端交互的地址进行拦截；
9.若步骤s11判定为是，则执行步骤s22：对所述与当前用户终端交互的地址进行拦截。
10.在一些实施例中，所述方法包括：
11.若步骤s21判定为否，则进入步骤s12：向当前用户终端发出第一预警提示信息；
12.当接收对所述第一预警提示信息的确认指令后，允许当前用户终端访问所述操作
场景的交互地址。
13.在一些实施例中，判断所述与当前用户终端交互的地址是否为恶意地址包括：判定所述与当前用户终端交互的地址与恶意地址库中的地址是否匹配；
14.步骤s22还包括：将判定为恶意地址的交互地址存储至恶意地址库中。
15.在一些实施例中，步骤s22包括：向当前用户终端发出第二预警提示信息，并对所述与当前用户终端交互的地址进行拦截。
16.在一些实施例中，所述操作场景包括在区块链上进行资金交易操作、使用数字钱包进行签名操作、使用数字钱包进行授权操作、识别到网页访问请求操作、识别到网页中存在恶意函数、识别到网页中存在恶意地址中的任一项或多项。
17.在一些实施例中，所述环境参数包括监听钱包操作函数的运行是否是来源脚本的自动加载，以及加载的时间间隔频率。
18.在一些实施例中，所述方法还包括：
19.采用机器学习训练模型对操作场景的匹配规则进行优化；
20.采集当前用户终端的操作行为数据，根据训练模型判断当前用户终端是否触发操作场景。
21.在一些实施例中，所述方法还包括：
22.在隔离环境中对于当前用户终端与交互地址的访问进行预执行，根据预执行结果判断交互地址是否为恶意地址；所述预执行结果包括预定时间内数字钱包当前用户终端的钱包地址的金额变化量。
23.在第二方面，本发明提供了一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序被执行时实现如本发明第一方面所述的方法。
24.在第三方面，本发明还提供了一种电子设备，包括：
25.存储介质，为如本发明第二方面所述的存储介质；
26.处理器，与所述存储介质电连接，用于执行所述存储介质存储的计算机程序以实现如本发明第一方面所述的方法。
27.区别于现有技术，本发明具有以下特点：
28.本发明提供了一种区块链应用预警防御方法、存储介质和电子设备，该方法包括：s1：监测当前用户终端是否触发操作场景，若是则执行步骤s11：采集所述操作场景下与当前用户终端交互的地址，判断所述与当前用户终端交互的地址是否为恶意地址；若步骤s11判定为否，则执行步骤s21：根据所述操作场景确定当前用户终端所处的环境参数，判断所述当前用户终端所处的环境参数与预设环境参数是否匹配；若步骤s21判定为是，则进入步骤s211：对所述与当前用户终端交互的地址进行拦截。本发明通过比对恶意地址以及对行为进行分析的方法，能够实时监控用户在区块链应用上的使用场景，及时识别恶意风险操作，有效拦截用户访问的恶意地址，保障用户的数字资产安全。
附图说明
29.图1为本发明第一种实施方式涉及的区块链应用预警防御方法的流程图；
30.图2为本发明第二种实施方式涉及的区块链应用预警防御方法的流程图；
31.图3为本发明第三种实施方式涉及的区块链应用预警防御方法的流程图；
32.图4为本发明第四种实施方式涉及的区块链应用预警防御方法的流程图；
33.图5为本发明第五种实施方式涉及的区块链应用预警防御方法的流程图；
34.图6为本发明一实施方式涉及的计算机程序的软件模块示意图
35.图7为本发明一实施方式涉及的电子设备的示意图。
具体实施方式
36.为详细说明本技术可能的应用场景，技术原理，可实施的具体方案，能实现目的与效果等，以下结合所列举的具体实施例并配合附图详予说明。本文所记载的实施例仅用于更加清楚地说明本技术的技术方案，因此只作为示例，而不能以此来限制本技术的保护范围。
37.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中各个位置出现的“实施例”一词并不一定指代相同的实施例，亦不特别限定其与其它实施例之间的独立性或关联性。原则上，在本技术中，只要不存在技术矛盾或冲突，各实施例中所提到的各项技术特征均可以以任意方式进行组合，以形成相应的可实施的技术方案。
38.除非另有定义，本文所使用的技术术语的含义与本技术所属技术领域的技术人员通常理解的含义相同；本文中对相关术语的使用只是为了描述具体的实施例，而不是旨在限制本技术。
39.在本技术的描述中，用语“和/或”是一种用于描述对象之间逻辑关系的表述，表示可以存在三种关系，例如a和/或b，表示：存在a，存在b，以及同时存在a和b这三种情况。另外，本文中字符“/”一般表示前后关联对象是一种“或”的逻辑关系。
40.在本技术中，诸如“第一”和“第二”之类的用语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何实际的数量、主次或顺序等关系。
41.在没有更多限制的情况下，在本技术中，语句中所使用的“包括”、“包含”、“具有”或者其他类似的表述，意在涵盖非排他性的包含，这些表述并不排除在包括要素的过程、方法或者产品中还可以存在另外的要素，从而使得包括一系列要素的过程、方法或者产品中不仅可以包括那些限定的要素，而且还可以包括没有明确列出的其他要素，或者还包括为这种过程、方法或者产品所固有的要素。
42.与《审查指南》中的理解相同，在本技术中，“大于”、“小于”、“超过”等表述理解为不包括本数；“以上”、“以下”、“以内”等表述理解为包括本数。此外，在本技术实施例的描述中“多个”的含义是两个以上(包括两个)，与之类似的与“多”相关的表述亦做此类理解，例如“多组”、“多次”等，除非另有明确具体的限定。
43.如图1所示，在第一方面，本发明提供了一种区块链应用预警防御方法，所述方法包括：
44.s1：监测当前用户终端是否触发操作场景，若是则执行步骤s11：采集所述操作场景下与当前用户终端交互的地址，判断所述与当前用户终端交互的地址是否为恶意地址；
45.若步骤s11判定为否，则执行步骤s21：根据所述操作场景确定当前用户终端所处的环境参数，判断所述当前用户终端所处的环境参数与预设环境参数是否匹配；若步骤s21
判定为是，则进入步骤s211：对所述与当前用户终端交互的地址进行拦截；
46.若步骤s11判定为是，则执行步骤s22：对所述与当前用户终端交互的地址进行拦截。
47.在本实施例中，当前用户终端所处的环境参数包括潜在恶意地址(即与当前用户终端交互的地址)与当前用户终端之间的互动参数。例如可以通过分析与钱包操作有关的函数，比如连接钱包操作、授权函数“approve()”、签名操作、转账金额等操作来确定当前用户终端所处的环境参数。通常，恶意应用往往会自动不间断弹出连接钱包的相关按钮诱导用户进行点击，所以确定当前用户终端所处的环境参数的规则之一就是通过监听钱包操作函数的运行是否是来源脚本的自动加载，包括加载的时间间隔频率。如果频率较高(超过设定的某个值)，则可以视为当前用户终端所处的环境参数与预设环境参数匹配，用户访问该交互地址存在被钓鱼诈骗的可能性。
48.在本实施方式中，所述操作场景包括在区块链上进行资金交易操作、使用数字钱包进行签名操作、使用数字钱包进行授权操作、识别到网页访问请求操作、识别到网页中存在恶意函数、识别到网页中存在恶意地址中的任一项或多项。具体的，当系统开始执行时会开始启动监听程序，监听程序用于监听当前用户是否有触发预定的操作场景，操作场景可以实时更新迭代添加、删减、修改、查询等。
49.在本实施方式中，与当前用户终端交互的地址优选为不变地址，具体可以包括域名地址、钱包地址、页面哈希地址等。这样，当某一次与当前用户终端交互的地址被判定为恶意地址时，下一次若用户终端继续想要与其进行交互，将会触发系统的保护机制进行拦截，从而保障用户的资产安全性。
50.所述域名地址主要包括“http”地址和“https”地址，这类地址解析得到是“ip”地址，但是“ip”地址可以不断变化，所以只会将主域名和子域名作为评判依据。所述钱包地址是指区块链钱包地址，不同区块链钱包地址的格式特征，因而可以根据地址开头和长度进行正则抓取。所述钱包地址还可以包括钱包域名地址，钱包域名地址可以根据区块链上的智能合约来解析。页面哈希地址可以通过对应用页面进行hash运算得到，包括应用网页中javascript文件的hash值。
51.如图2所示，若步骤s21判定为否，则进入步骤s12：向当前用户终端发出第一预警提示信息；步骤s12之后还可以进入步骤s13当接收对所述第一预警提示信息的确认指令后，允许当前用户终端访问所述操作场景的交互地址。优选的，判断所述与当前用户终端交互的地址是否为恶意地址包括：判定所述与当前用户终端交互的地址与恶意地址库中的地址是否匹配。步骤s22还包括：向当前用户终端发出第二预警提示信息，所述与当前用户终端交互的地址进行拦截，将判定为恶意地址的交互地址存储至恶意地址库中。
52.简言之，当用户终端触发相应的操作场景之后，本发明会先开始采集相应的恶意地址数据进行匹配，如果匹配到恶意地址则立即发出第三预警提示信息。如果当前交互的地址并没有记录于恶意地址库中，但经过行为分析比对判定当前用户终端所处的环境参数满足诈骗钓鱼的环境参数，则会发出第二预警提示信息。而在第二预警提示信息发出后，系统会对用户访问交互的地址进行拦截并通知用户终端，以及将判定为恶意地址的交互地址添加到恶意地址库中，以便下一次检测到相同地址时可以及时预警。而如果经过行为分析发现用户终端所处的环境参数并非诈骗钓鱼的环境，为了避免用户误操作，系统会帮助用
户进行二次风险确认，具体可以通过发出第一预警提示信息来提醒用户是否正在经历钓鱼场景从而主动提高用户的安全意识，第一预警提示信息可以用来提醒用户确认当前网站是否属于可信来源网站，也可以用来提醒用户确认当前操作是否属于高风险操作。
53.优选的，第一预警提示信息和/或第二预警提示信息和/或第三预警提示信息可以进行迭代修改添加，可以是文字提示信息、图片提示信息、弹窗提示信息、光线提示信息、视频提示信息等。
54.如图3所示，所述方法还包括：
55.首先进入步骤s301采用机器学习训练模型对操作场景的匹配规则进行优化；
56.而后进入步骤s302采集当前用户终端的操作行为数据，根据训练模型判断当前用户终端是否触发操作场景。
57.通过运行机器学习中的算法优化和完善分析规则，增加规则命中的准确度，能够保证精准识别钓鱼行为。
58.在某些实施例中，所述方法还包括：在隔离环境中对于当前用户终端与交互地址的访问进行预执行，根据预执行结果判断交互地址是否为恶意地址；所述预执行结果包括预定时间内数字钱包当前用户终端的钱包地址的金额变化量。
59.例如当前用户终端访问交互地址是将要进行交易操作，交易预执行是通过使用当前区块链状态在出块节点本地进行模拟执行，因此不会更改区块链的状态。在本次交易预执行后，对交易trace进行分析以明确各个子调用层级的角色归属(即哪些节点参与了本次交易信息的完成)并梳理出交易调用路径。结合以上两方面分析可以得到本次交易的交易发起节点具体的交易行为画像，包含资金转移行为与智能合约调用行为路径。若行为画像表明交易发起节点的账户获得大量资产而智能合约非预期的减少了大量资产，则可以认为本次交易存在潜在的攻击行为，可以将其与交易trace分析结合转入具体的攻击阻断流程，反之则不对此交易进行后续处理并将其转至通知队列与待打包执行列表。
60.进一步地，对所述潜在攻击行为进行攻击阻断包括：根据所述交易执行路径确定本次交易执行时调用的各个交易账户地址和调用顺序；根据所述调用顺序依次对本次交易执行时调用的各个交易账户地址进行替换填充，使得出块节点与本次交易执行时调用的各个交易账户地址相剥离，构造出受节点程序控制的攻击阻断交易。
61.通过在隔离沙箱中预执行相应的访问交互操作，当预执行的结果是短时间内用户终端的钱包地址的资产资金大量减少，则说明当前用户终端交互的地址很可能是恶意地址，系统将会拦截本次交易的进行，从而有效起到预警作用。
62.如图4所示，在另一些实施例中，所述方法包括：在系统开始之后，通过监控模块对用户的操作行为进行监控，如果检测到用户触发某项操作场景后，将对包含与当前与用户终端交互的地址的数据进行采集，判断当前与用户终端交互的地址是否为恶意地址，具体是将当前的交互地址与恶意地址库中的存储的地址进行匹配，如果匹配成功则发出诈骗/钓鱼警告，并将当前的交互地址写入恶意地址库中，而后对该交互地址进行拦截并通知用户终端。如果未匹配到恶意地址，则进行行为分析判断，具体是根据预定行为规则识别当前用户的环境是否是诈骗钓鱼的环境，如果是则对交互地址进行拦截并通知用户终端，如果否则提醒用户终端进行二次风险确认，并在用户终端确认后执行相应交互操作。
63.如图5所示，用户行为分析可以通过预设的规则进行判断，预设的规则可以进行迭
代增加、修改、删减等操作，例如当判定当前用户正在进行资金交易、正在转账或跳转其他地址时，均可以判断用户在预执行完该操作后资产是否短期内大量减少，若是则可以弹出预警信息并拦截本次操作，直至用户二次确认为止。
64.在第二方面，本发明还提供了一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序被执行时实现如本发明第一方面所述的方法。
65.如图6所示，本技术涉及的计算机程序可以按照功能划分为多个软件模块，具体包括：恶意地址采集模块(用于采集交互地址)、恶意代码语义分析模块(用于对恶意代码进行语义分析)、数据对比模块(用于将两个数据进行比对判断是否匹配)、警报模块(用于发出预警提示信息)、风险确认模块(用于接收用户输入的确认指令，进行风险二次确认)，上述不同的模块可以调用不同的接口完成。
66.在第三方面，如图7所示，本发明还提供了一种电子设备10，包括存储介质102和处理器101，存储介质102为如第二方面所述的存储介质；处理器101与所述存储介质102电连接，用于执行所述存储介质存储的计算机程序以实现如第一方面所述的方法。
67.优选的，电子设备可以为计算机设备，包括但不限于：个人计算机、服务器、通用计算机、专用计算机、网络设备、嵌入式设备、可编程设备、智能移动终端、智能家居设备、穿戴式智能设备、车载智能设备等。存储介质包括但不限于：ram、rom、磁碟、磁带、光盘、闪存、u盘、移动硬盘、存储卡、记忆棒、网络服务器存储、网络云存储等。处理器包括但不限于cpu(中央处理器)、gpu(图像处理器)、mcu(微处理器)等。
68.尽管已经对上述各实施例进行了描述，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改，所以以上仅为本发明的实施例，并非因此限制本发明的专利保护范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围之内。