[发明专利]一种基于专家规则与序列化建模的智能合约漏洞检测方法

权利要求书

1.一种基于专家规则和序列化建模的智能合约漏洞检测方法，其特征在于，结合专家规则以及序列模型实现智能合约重入漏洞的自动化检测，所述智能合约重入漏洞检测方法具体包括如下步骤：

收集并设计智能合约重入漏洞案例，制作智能合约重入漏洞数据集，利用开源漏洞检测工具标注数据集，得到智能合约源码数据集；

将所述智能合约源码数据集进行重入漏洞分析；

将智能合约转换为合约序列块形式；

利用向量化工具，将所述合约序列块映射为向量形式；

构建双向长短时记忆模型，将合约序列块向量输入模型进行训练，提取高表达性的合约序列块特征；

利用自动提取工具，从智能合约中提取与重入漏洞相关的专家规则并标记；

将所述专家规则输入到前向神经网络模型中进行训练，提取高维度的特征向量；

构建分类器模型，将合约序列块以及专家规则的特征向量输入到分类器模型中，输出智能合约重入漏洞检测结果。

2.根据权利要求1所述的一种基于专家规则和序列化建模的智能合约漏洞检测方法，其特征在于，所述收集并设计智能合约重入漏洞案例，制作智能合约重入漏洞数据集，利用开源漏洞检测工具标注数据集，具体为：

基于以太坊平台，实现爬虫工具获取以太坊上验证的智能合约源码，设计并实现相应的智能合约重入漏洞案例，构建智能合约重入漏洞数据集；

利用开源的智能合约漏洞检测工具以及人工审计方式标注重入漏洞数据集。

3.根据权利要求1所述的一种基于专家规则和序列化建模的智能合约漏洞检测方法，其特征在于，所述将智能合约源码数据集进行重入漏洞分析，具体为：

受害者合约中是否调用call.value转账函数；

对攻击者合约的资金扣除操作是否在call.value函数调用之后；

受害者合约中，攻击者账户余额是否大于其申请转账额。

4.根据权利要求1所述的一种基于专家规则和序列化建模的智能合约漏洞检测方法，其特征在于，所述将智能合约转换为合约序列块形式，具体为：

给定智能合约，基于智能合约对其进行数据清洗，包括去除空行、非ASCII字符以及与重入漏洞分析无关的注释；

根据数据流与控制流依赖，从合约中提取与重入漏洞相关的代码行，构建高表达性的智能合约序列块。

5.根据权利要求1所述的一种基于专家规则和序列化建模的智能合约漏洞检测方法，其特征在于，所述利用向量化工具，将合约序列块映射为向量形式，提取合约序列块特征向量，具体实现方式包括：

通过词法分析对合约序列块进行符号表示，并进一步细分为token形式，利用向量转换工具，把token形式的合约序列块转化为向量形式；

构建双向长短时记忆序列化模型，将合约序列块向量输入模型，提取合约序列块特征向量。

6.根据权利要求1所述的一种基于专家规则和序列化建模的智能合约漏洞检测方法，其特征在于，所述利用自动提取工具，从智能合约中提取与重入漏洞相关的专家规则，具体实现方式如下：

通过自动提取工具，从智能合约函数中提取重入漏洞专家规则；

通过关键字匹配与语法分析提取子规则CallValue、BalanceDeduction、BalanceSufficent，其中，子规则CallValue、BalanceDeduction、BalanceSufficent具体含义如下：

CallValue，用来表示合约中是否存在调用call.value函数的情况；

BalanceDeduction，用来表示受害者合约中资金减操作设置是否在call.value函数调用之后；

BalanceSufficent，用来表示合约中攻击者用户余额是否大于其申请转账额。