几篇异常行为检测的论文概括

Market Manipulation of Bitcoin: Evidence from Mining the Mt. Gox Transaction Network

1. 比特币、市场操纵、Mt. Gox交易所的原始数据
2. 原始数据集：Mt. Gox比特币交易所泄露的交易历史；人工筛选地址/地址集：删除重复、单向支付等不合理的记录，将交易价格与quandl.com上公布的Mt. Gox价格进行比较，检查其是否落在披露价格当天的最高和最低交易价格之间；根据交易金额特征分为三类地址；构建三种交易图：每种交易图节点类型都一样，eg.EHG的节点都是EHA；分析交易图；将得到的交易图重构为序列，并作为矩阵进行重构，主成分分析法(类似于SVD，奇异值分解)，进一步分析基础网络中最重要的账户时，发现了大量的市场操纵模式，从而在逻辑上证明他们提出的6种市场操纵模式（6种交易子图形式）是可靠的，且Mt. Gox交易所存在严重的市场操纵行为；

1. 原始数据集以CSV文件的形式被泄露
2. 构建交易图将账户视为节点（一种图里的节点类型一样），将交易视为边缘E，w是将每条边关联到一个权重的函数，权重是通过一次或多次交易沿边转移的比特币总量。G = (V;E;w)

        要构造这个图，我们采用以下步骤。由于每个完整的事务在数据验证之后都有一个买卖记录(具有相同的事务ID)，所以我们首先构造一组元组(S;B;v;t;l)对于每一笔完整的交易，其中S和B代表买卖双方(用用户ID表示)，v为比特币对应的交易金额，t为交易时间，l为表示交易类别的标签(即， EHT, ELT或NMT)。我们将这个集合称为事务元组，因为每个元组对应一个惟一的事务。基于事务元组，上面提到的图很容易构造。例如，为了构造EHG，我们选择卖方和买方都是EHAs的所有元组，并将按S和B分组的v项求和，然后生成新的元组(S;B;v)是EHG。

     3. 分析交易图的节点和边缘分类、聚类系数、测量图簇和度分布等

     4. 模型的由来：考虑从10个基础网络的上，进一步提取每个基网络中排名前10的边(按权值绝对值)；提出的六种模式可以参考

 

 

 

Cybercriminal Minds: An investigative study of cryptocurrency abuses in the Dark Web

1. 加密货币（比特币99.8%、以太坊、门罗币）、滥用（加密货币服务）、暗网
2. 收集暗网数据：提出MFScope框架，收集暗网数据后用正则表达式提取加密货币地址，去除一些验证无效或与恶意无关的地址；先标记比特币地址是否确实用于销售非法商品和服务（人工），再根据用途特征分类得到后面分析用的恶意种子地址；聚类扩充恶意地址集，然后排除聚类过大的地址集（不合理）；跨域分析模块与Surface Web进行相关分析（手动），以获得与犯罪者拥有的非法比特币地址相关的额外信息；基于污点的比特币流分析，为每个非法比特币地址构建一个比特币交易图，从而揭示非法资金流动特征和对应服务类型（5种）

1. 收集数据的方式（扩数据集）；用正则表达式提取目标地址
2. 聚类扩充恶意地址集：利用比特币的所有权来聚集比特币地址，使用BlockSci[48]比特币分析平台，实现了跟踪地址所有权的两种启发式（比特币的两种很原始的启发式）。为每个聚类分配一个唯一的标识符(集群ID)。

• 多输入(MI)交易是涉及多个输入地址的比特币交易。可以推断，多输入事务中的输入地址由单个实体拥有，因为必须提供与输入地址关联的所有私钥才能进行这样的事务。然而，在CoinJoin事务[53]的情况下，尽管它们涉及MI事务，但是输入地址不一定由单个实体拥有，因此必须在集群时排除这些事务。
• 找零(CA) (MI+CA)，找零地址代表发送方的新比特币地址，因此更改地址属于用作交易输入的地址的所有者

        虽然聚完了类，但还是要排除过大的这种不太合理的类。

   3. 跨域分析新获得的其他地址以获得一些额外信息，以及这些地址如何使用，虽然是手动

1）这个图看起来构建的更加细致，但因为构图方法与上一篇不同，没有固定节点类型，所以需要筛选交易，如图3所示。虽然有两个事务(TX E和TX F) addr k作为其输入,但该模块只有遵循TX E作为下一个事务,因为它花的输出TxOut (b),这是源于非法地址,作为输入TxIn (E)。TXF被放弃，因为在这次交易中处理的比特币来自TXOut(c)，它不携带来自非法地址的比特币。

2）此外，当流分析模块向图中添加一个新的addr节点时，它试图通过查询WalletExplorer[24]来识别地址的所有者，该浏览器提供关于比特币地址的所有权信息。如果该地址由知名的服务提供者拥有，它将使用该服务的名称标记该节点，并停止后续事务，因为它到达了该特定资金流的实际目的地，就是知道这个非法地址对应的大概服务（5种）。

3）限制跟踪10笔交易

 

 

 

Detecting Ponzi Schemes on Ethereum: Towards Healthier Blockchain Technology

1. 以太坊、庞氏骗局、http://etherscan.io网站的api
2. 利用数据挖掘和机器学习方法在区块链上检测庞氏骗局的方法。对Ethereum上的智能合约进行验证（包括正常交易、触发交易（JSON文件）和源代码），源代码被编译成字节码，字节码被编译成操作码(详细信息见第2节)；从智能合约的用户账户和操作代码中提取特征：从交易中提取账户特征，构建以太流图，通过以太流图（账户行为）对智能合约分类，代码特征是从操作代码中提取的，仅仅通过操作码云图不能识别出智能合约类型；然后建立一个基于XGBoost的分类模型来检测作为智能合约实现的潜在庞氏骗局；然后利用模型先验证已有合约集中54个手动发现的隐藏很好的合约，以及全局验证

1. 从http://etherscan.io网站的api收集了1382份经过验证的智能合约，手动挑选庞氏合约，整理为模型中的ground truth数据
2. 庞氏合约至少有三个特点:1)这些合约一旦投资到合约中，通常就会向账户发送以太币;2)有些账户收到的付款比投资多，例如创作者经常从合约中收取费用;3)合约的余额可能很低，因为庞氏骗局总是试图保持快速和高回报的形象。合约的以太流是此类行为的良好表示。

         以太流图用于显示合约及其参与者之间的交易。交易有两个方向:参与者从合约发送或接收以太币。我们将第一个方向表示为参与者的投资交易（红），第二个方向表示为参与者的支付交易（绿，系统向参与者付款）。

 

   3. 提取了所有的操作码并计算了它们的频率，从而得到代码特征，可参考图6；

       图5展示了上面两个智能契约中操作码的云图。删除了三个最常见的操作码，PUSH、DUP和SWAP，使图形更容易被看到

   4. 使用精度、查全率和F-score三个指标来评价模型的性能

 

 

Understand Ethereum via Graph Analysis

1、以太坊、三个主要的活动（转账、合约创建、合约调用）、公链和EVM

2、设计了一个新的收集数据的方法（内部交易，往EVM里插自己写的工具代码）；数据预处理：去掉一些没用的；构造三种交易图：每种图的节点类型不一样（输入节点、输出节点）；分析交易图：关注边的数量和边的方向，推测节点身份（聚类思想，但是先去源地址找有用信息更有效）；交叉图分析以太坊两种安全问题