基于活躍節點庫的以太坊加密流量識別方法

胡曉艷，童鐘奇，吳樺，許昱瑋

〔1.東南大學網絡空間安全學院，江蘇南京 211189；2.計算機網絡和信息集成教育部重點實驗室（東南大學），江蘇南京 211189；3.網絡空間國際治理研究基地（東南大學），江蘇南京 211189；4.網絡通信與安全紫金山實驗室，江蘇南京 211111〕

1 引言

區塊鏈是一種由多方共同維護，能夠實現數據一致存儲、不可篡改、多方訪問、去中心化的記賬技術，也稱為分布式賬本技術。區塊鏈技術誕生于中本聰名為《比特幣：一種點對點式的電子現金系統》[1]的論文中，它為進一步解決互聯網中的信任問題、安全問題和效率問題提供了新的解決方案，也為金融等行業的發展帶來了新的機遇和挑戰。近年來，區塊鏈技術的應用逐漸廣泛，據Cisco預測[2]，2027年區塊鏈行業將占全球GDP的10%，但隨之而來的監管問題也變得愈發突出。區塊鏈匿名性和多方維護的設計，使得區塊鏈的有效監管十分棘手。

作為區塊鏈中的代表性應用，以太坊在中本聰提出的區塊鏈結構基礎上，引入了私有RLPx加密協議對數據打包和加密，進一步加強了其匿名性，這也使得以太坊成為了驅使網絡安全事件發生的催化劑。據PeckShield統計[3]，僅2019年就有超177起區塊鏈安全事件發生，造成的經濟損失高達76.79億美元。因此，監管以太坊流量從而及時發現攻擊行為對以太坊的穩定運行至關重要，而以太坊流量監管的第一步就是對以太坊加密流量的識別。

已有研究中的加密流量識別方法可以分為數據分組負載隨機性檢測方法[4,5]、基于有效負載的識別方法[6,7]和基于機器學習的識別方法[8]。數據分組隨機性檢測方法需要對數據流中不完全隨機加密特征字段進行識別；基于有效負載的識別方法分析提取數據中未加密部分進行識別；基于機器學習的識別方法通過提取加密流特征，結合機器學習方法，實現加密流量識別。而國內外涉及以太坊加密流量的研究集中在對以太坊應用的識別和對以太坊拓撲結構的構建上。對以太坊應用識別主要是對在以太坊平臺上開發的Dapps的識別[11]，其本質還是對傳統TLS流量的分類，不是針對以太坊私有協議加密流量的研究；對以太坊節點拓撲的構建是通過NetFlow流[12]或者主動探測[13]的方法收集以太坊節點信息，構建以太坊拓撲結構，這些方案也沒有對以太坊加密流量進行深入研究，無法準確識別以太坊加密流量。

綜上所述，為夯實以太坊網絡監管的第一步，本文提出一種基于活躍節點的以太坊加密流量識別方法，通過活躍節點庫過濾以太坊節點，提高了識別效率，進一步實現以太坊加密流量準確識別。

2 以太坊相關背景

2.1 基礎架構

以太坊的基本機構如圖1所示，一般將其分為自底向上的6層結構。數據層定義了區塊內部數據存儲格式、區塊的鏈式相連方式以及以太坊錢包地址采用的非對稱加密方法；網絡層則定義了以P2P為基礎的RLPx數據格式化打包和數據傳播協議；共識層則采用了POW（Proof of Work，工作量證明）和POA（Proof of Authority，授權證明）共識方法；激勵層定義了礦工成功打包區塊和運行以太坊合約時的獎勵方法；合約層包含了以太坊所有的智能合約，是以太坊實現自定義的、具備圖靈完備性的分布式應用的基礎，它運行在獨立的以太坊虛擬機EVM上；應用層是在以太坊平臺上，使用智能合約編寫的不同的去中心化應用。本文主要關注的是以太坊的網絡層中RLPx協議的加密方法和通信過程，因此，下面將主要介紹RLPx協議的基本概念和相關內容。

圖1 以太坊分層結構

2.2 RLPx協議

RLPx跟隨RLP（Recursive Length Prefix）命名，RLP是以太坊中采用的數據序列格式化的方法。RLPx協議中定義了基于UDP的不加密節點發現過程和基于TCP的加密數據傳輸過程。

圖2是RLPx連接建立過程的示意圖。由于以太坊基于P2P設計，因此當一個節點加入以太坊網絡時，首先是節點的發現過程。RLPx基于UDP實現了其他節點的發現。起始時通過Ping內部預置的一些公開節點，對返回Pong的節點進一步發送請求獲取鄰居節點信息，并用K桶保存這些節點信息。

在建立TCP連接前，會通過UDP的Ping-Pong來確認連接的可用性。連接建立過程中首先會通過Enchandshake握手過程確定此次連接的臨時通信密鑰。EncHandshake握手過程中雙方使用自身信息隨機的各自生成一個私鑰，然后將對應公鑰發送給另一方，最后雙方通過手中的私鑰和對方的公鑰生成一個共享密鑰，此次連接的信道上將會使用此共享密鑰加密傳輸信息。該共享密鑰只在本次通信過程中保持有效，保證了以太坊的完備的前向安全性。隨后將會進行狀態的同步和區塊同步等操作，保證節點與整個以太坊信息的一致。

由于以太坊通信內容都采用了RLP方法進行序列格式化，并且定義的通信內容格式間也存在著相似性，導致UDP報文在大小和內容之間存在著很多的重復性，TCP報文在握手過程和通信內容大小上也存在很多的相似，這些相似的內容為識別以太坊加密流量提供了可用的特征。本文因此提出了一種基于以太坊活躍節點的以太坊加密流量識別方法。下一章將會介紹算法的整體設計。

3 算法設計

本文將會介紹基于活躍節點庫的以太坊加密流量識別方法的具體設計。圖3是整個算法實現的結構圖。

圖2 RLPx協議通信過程

圖3 以太坊加密流量識別算法結構圖

算法包含了兩個主要部分，節點庫設計部分和流量處理部分。核心節點庫存儲支撐以太坊運行的核心節點信息，活躍節點庫基本覆蓋區域內所有的以太坊節點。因此，可以認為區域內所有的以太坊流量不是從活躍節點庫中發出的就是以活躍節點庫中的節點為目的地址。算法首先判斷流量源宿地址是否在活躍節點庫中存在記錄，對存在記錄的流量轉入流量處理部分。在流量處理部分會分別對UDP流量和TCP流量進行識別，將以太坊UDP報文識別結果作為TCP識別的基礎，同時采用UDP和TCP識別結果共同更新維護活躍節點庫中信息。下面是對這兩部分的詳細介紹。

3.1 節點庫設計

以太坊節點庫包含以太坊核心節點庫和以太坊活躍節點庫。以太坊維護機構為保證以太坊POW共識算法的可靠性，維持以太坊的正常運行，設置了部分以太坊節點并公開了這些節點的信息。此外，以太坊會在Geth等工具中內置一些以太坊節點以保證新節點加入時能與鄰居節點建立連接。本文引入核心節點庫存儲這兩種節點信息，在算法起始時填充活躍節點庫。

活躍節點庫包含了當前區域內所有活躍的以太坊節點的信息，活躍節點庫初始由核心節點庫填充，隨著算法的運行，活躍節點庫不斷趨于收斂，最終實現對整個區域內以太坊活躍節點的記錄。不同區域中活躍節點庫的信息可能有所區別，而整個以太坊的核心節點庫信息保持一致。

3.2 流量識別方法

由于以太坊流量中包含了UDP流量和TCP流量，因此針對兩者采用不同的處理方式。以太坊在建立TCP連接前會通過UDP的Ping-Pong探測節點的可用性或獲取相關的鄰居節點信息，因此，算法首先會針對UDP流量進行識別。

如圖4所示，以太坊UDP定義了四種結構，包括Ping、Pong、FindNode和Neighbors。以太坊Ping-Pong過程是對等節點對某另一個節點可用性的探測過程。FindNode用來向自己的鄰居節點查詢距離目的節點比較近的鄰居節點。Neighbors是對FindNode的回應，包含了該節點中距離目的節點較近的節點的信息。此外，以太坊RLPx協議中對UDP流量是不加密的，因此以太坊的UDP流量表現出了極高的相似性，報文大小、報文順序等都有著極高的統一性。

對于探測節點是否可用的Ping-Pong過程，一條UDP流中可能會包含一次或多次重復的Ping-Pong，Ping報文的內容大小約為127B，而Pong包內容稍大，約為150B；針對鄰居節點信息獲取的過程，首先會是一次或者多次的節點可用性的探測，當節點可用時會發送一個FindNode報文，對等節點也返回一個Neighbors報文，該次的鄰居節點信息獲取過程結束。其中，FindNode內容大小固定為171B，且返回的Neighbors是固定的兩個1057B和425B的報文。此外，以太坊會選用較高的通信端口，初始的默認端口號為30303，若端口號30303被占用會重新選擇端口，一般選用10000以上的端口號。

針對以太坊TCP流量，其RLPx協議一共定義了以太坊TCP中的12種報文格式，為區分其中的相似報文，在發送相似報文前會發送一個固定大小的標識報文標識將要發送的報文格式。此外，以太坊TCP的Enchandshake是通信的第一步，由連接發起方開始，雙方交換一次大小約500B的自身信息實現Enchandshake握手。

圖4 以太坊UDP報文數據結構

綜上，當一個待識別流的源、宿地址在以太坊活躍節點庫中存在記錄時，轉入以太坊流量識別過程。首先判斷雙方是否存在UDP流量，進而判斷UDP端口是否是較高端口，其次結合UDP的Ping-Pong報文大小、Ping-Pong報文順序以及NodeFide報文Neighbors報文的大小、順序進一步確定是否是以太坊UDP流量。對確認存在以太坊UDP流量的節點進行記錄，更新活躍節點庫信息，轉入對TCP流量的識別。對于TCP流量，首先通過高端口號初步判斷是否是以太坊TCP流量，在TCP握手后判斷是否進行Enchandshake握手過程，最后，對傳輸內容的報文大小進行統計，設置閾值，該閾值反映了流量中標識報文和相似行為報文的出現頻率，滿足高端口特性、進行了Enchandshake并且統計結果高于閾值的即為以太坊TCP流量，同時更新以太坊活躍節點庫中信息。

4 實驗結果與分析

4.1 實驗數據準備

為獲取以太坊核心節點信息，本文使用網絡爬蟲方法爬取以太坊節點統計網站ethernodes.org中公開節點，共爬取了5,672個公開節點填充核心節點庫。由于缺乏可用的以太坊流量數據集，本文參考使用了文獻[13]中NodeFinder的設計，同時為了保證收集到足夠可用的TCP流量，本文延長了NodeFinder中的連接保持時間至2min，一般會在此時間內完成多次交易的轉發和區塊的同步。為保證最終實驗結果的準確性，需要保證活躍節點庫達到收斂。考慮到現實情況中識別是一個持續的過程，本文采用兩組數據進行實驗，第一組數據是模擬現實環境對活躍節點庫進行填充。第二組數據中混入背景流量，測試實驗結果。本文設置了兩臺位于同一子網中的設備分別抓取了實驗數據一和實驗數據二，具體實驗數據如表1所示。

表1 實驗數據

4.2 實驗結果

為研究UDP中報文大小范圍設置對結果的影響，在排除425B和1057B的固定大小的UDP報文的影響后，本文分別設置算法中UDP報文大小范圍從[110,200]至[110,320]，實驗結果如圖5所示。為研究TCP中閾值對實驗準確率的影響，本文分別對閾值為7%至15%進行了實驗，實驗結果如圖6所示。

圖5 報文范圍對UDP識別結果的影響

由圖5可以看出，隨著UDP報文大小范圍的增加，準確率先降低再升高再降低，精確率持續降低，召回率在[110,300]處提升明顯。這是因為以太坊UDP報文在剔除425B、1057B兩種固定大小的報文后，主要分布在[110,200]和[280,300]的區間內，而報文大小范圍的增加會導致將非以太坊流量誤判為以太坊流量的比例增加。因此，準確率會在[110,280]和[280,300]之間提升，而整體呈現下降趨勢，精確率則會因為誤判的增加而持續降低，召回率在[110,280]和[280,300]也會有顯著提升而整體呈現緩慢上升趨勢。

由圖6可以看出，隨著閾值的不斷升高，準確率和精確率不斷上升，而召回率程現下降趨勢。這是因為隨著閾值的提升，將以太坊流量誤判為非以太坊流量的比例不斷上升，將非以太坊流量誤判為以太坊流量的比例都不斷下降，但將以太坊流量誤判為非以太坊流量的上升趨勢較將非以太坊流量誤判為以太坊流量的下降趨勢更不明顯，因此整體呈現的效果就是準確率和精確率緩慢提升，而召回率不斷下降。

圖6 閾值對TCP結果的影響

5 結束語

本文進行了以太坊加密流量識別的研究，提出了一種基于以太坊活躍節點庫的以太坊加密流量識別方法，在獲取區域內以太坊節點信息構建以太坊活躍節點庫的基礎上，針對以太坊UDP和TCP流量分別進行了識別，在實驗中得到了較高的識別準確率、精確率和召回率。

但是，由于目前尚無針對以太坊加密流量識別的工作，因而實驗結果中缺乏對比實驗，針對這一缺憾，本文后續工作將會跟進學術界最新進展，在出現了相關研究工作時進行對比實驗。