基于v3 洋蔥域名的比特幣地址威脅程度分析

胡錦楓，徐曉瑀，陳云芳，張偉?

（1.南京郵電大學計算機學院，江蘇 南京 210023；2.江蘇省聯創軟件研究院，江蘇 南京 210036）

0 引言

互聯網按照其訪問方式可分為明網、深網和暗網3 個類別，能被百度、谷歌、必應等常用搜索引擎檢索和訪問的網絡稱為明網，其約占整個互聯網的4%。而那些不能通過普通搜索引擎直接訪問，需要賬號密碼、訪問權限或者特定鏈接［1］等才可以訪問的網絡稱為深網［2］，其約占整個互聯網的96%。暗網被視為深網的1 個子集，傳統的搜索引擎既“看”不到，也獲取不了暗網中的內容，必須通過特殊的軟件配置或使用非標準的通信協議才能訪問。

數據研究表明，暗網包含的毒品、武器、器官、兒童色情和隱私數據等各類敏感信息是明網的1 000～2 000倍［3］，其中，加密貨幣因其匿名性備受暗網用戶關注。根據聯合國毒品和犯罪問題辦公室（UNODC）發布的《2021 年世界毒品報告》顯示［4］，幾大暗網市場的年毒品交易額至少為3.15 億美元，整體呈現交易額逐年增加和交易類型逐年增多的趨勢。據區塊鏈安全機構調查顯示，2020 年在國內未受監管的跨境流動虛擬貨幣價值達175 億美元，較2019 年增長51%。可見，國內外的形勢都異常嚴峻，因此針對比特幣非法交易的研究勢在必行。然而，暗網生態的多變性以及比特幣相關研究的局限性給監管工作帶來了巨大挑戰。原先主流的v2 洋蔥域名使用的密碼技術存在漏洞，To（rThe Onion Router）開發團隊在2018 年開始部署安全級別更高的v3 洋蔥域名［5］，并在之后的3 年里逐步取代v2 洋蔥域名。2021 年10 月15 日，Tor 官方徹 底禁用v2 洋蔥域 名，完成版本的全面升級。至此，原有的形如budfqtymn 5cf6nak 等16 位字符串加特殊頂級域.onion 的v2 洋蔥域名都已經無法使用，現在所有利用Tor 網絡提供的洋蔥域名都由56 位字符串加特殊頂級域.onion 構成。過往的v2 洋蔥域名數據不再作為分析的依據。比特幣交易通常是由不同用戶采用比特幣地址作為假名在區塊鏈上進行的交易，這種假名是由用戶自由生成，與用戶真實身份特征無關。為了實現去匿名化，目前大部分研究都集中在比特幣地址在區塊鏈上的啟發式地址聚類和社區網絡分析上，忽略了比特幣地址與暗網關聯信息的利用。

為獲取最新的v3 洋蔥域名以及與暗網關聯的比特幣地址信息，本文設計基于v3 洋蔥域名的暗網比特幣地址威脅程度一體化分析框架TLAFDB。該框架實現了集洋蔥域名收集、比特幣地址收集、篩選、分類和威脅程度排名為一體的功能，可以幫助網絡監管人員獲得在區塊鏈上無法獲取的比特幣地址類別、流行度和威脅程度。本文通過TLAFDB 還發現了暗網生態下比特幣使用的一些有趣現象，揭示v3 洋蔥域名更新后的暗網業務形態。

1 相關工作

1.1 洋蔥域名

Tor［6］是目前使用最廣泛的在線匿名通信網絡。為了實現匿名性，Tor 利用由6 000 多個中繼站組成的志愿者覆蓋網絡來引導互聯網流量，從而隱藏用戶的位置和使用情況，以避免任何人進行網絡監控或流量分析。洋蔥服務最初被稱為隱藏服務，是一種只能通過Tor 網絡訪問的網絡服務。根據Tor隱藏服務［7］協議，1 個隱藏服務首先會生成包含其公鑰和引入點列表的隱藏服務描述符，并將其私鑰作為描述符指紋對描述符進行簽名。隱藏服務將描述符上傳到具有分布式哈希表（DHT）結構的隱藏服務目錄服務器。想要訪問隱藏服務的客戶端首先需要知道它的.onion 洋蔥域名，然后從對應的隱藏服務目錄服務器下載它的描述符，協商1 個會合點并將其通知給隱藏服務，最終在客戶機和隱藏服務之間建立連接。

搜集洋蔥域名的主要方法包括部署隱藏服務目錄服務器以及利用社交網絡和暗網搜索引擎。部署隱藏服務目錄服務器的基本思想是通過部署惡意隱藏服務目錄服務器來保存隱藏服務描述符中未經加密的隱藏服務公鑰，然后使用洋蔥域名生成規則計算公鑰對應的洋蔥域名。文獻［8］首次通過該方法在2 天內使用較少的資源搜集大量的隱藏服務描述符，進而計算獲得39 824 個v2 洋蔥域名。

利用社交網絡和暗網搜索引擎的主要思想是隱藏服務供應商為了增加受眾，會在Twitter 等社交網站以及Ahmia 等暗網搜索引擎發布洋蔥域名。由于暗網的訪問存在地域差異性，因此文獻［9］利用Selenium 設計一套暗網爬蟲程序。該程序使用COW代理將Tor 的socks5 協議轉為http 協議的方式繞過地域限制，并分批爬取暗網網頁，最終收集了613 個洋蔥域名，其中158 個是違法網站。文獻［10］提出不依賴Tor 瀏覽器的Tor2web 的洋蔥域名發現方法，通過普通瀏覽器借助代理連通Tor，并輸入關鍵詞搜集洋蔥域名，最終收集了9 176 個v2 洋蔥域名。文獻［11］使用文獻［10］的方法，增加目錄網站和暗網搜索引擎2 種方法提取目錄網站收錄以及搜索引擎索引的洋蔥域名，構建豐富的v2 洋蔥域名數據集。針對近期v2 和v3 洋蔥域名版本迭代的問題，文獻［12］設計1 個開源系統Dizzy，用于大規模爬行和分析洋蔥域名，該系統收集了包含v2 和v3 版本在內的39 536 個洋蔥域名，重點關注暗網與常規網絡不同的拓撲圖結構。

2021 年以來，隨著Tor 官方對v2 洋蔥域名的徹底禁用，16 位字符串的v2 洋蔥域名數據集已經無法再被使用。同時，v3 洋蔥域名修復了Tor 在隱藏服務目錄的設計漏洞［13］，這也意味著部署惡意隱藏服務目錄服務器的方法不再適用于v3 洋蔥域名。因此，本文采用暗網搜索引擎方法收集Tor 0.3.2.1-Alpha版本后的56 位字符串的v3 洋蔥域名，這也符合實際的應用情況。

1.2 比特幣地址

比特幣［14］是一種P2P 形式的虛擬加密數字貨幣，它依靠特定計算機算法并通過大量的計算產生，然后使用整個P2P 網絡中眾多節點構成的分布式數據庫來確認并記錄所有的交易行為。同時，比特幣使用密碼學進行數字加密，確保貨幣流通的安全性。記錄比特幣交易的賬戶模型稱為UTXO，也就是未使用的交易輸出。在比特幣中，一筆交易的每條輸入和輸出實際上都是UTXO，在新的交易中輸入就是先前交易剩下的UTXO。當Alice 要把一筆比特幣轉給Bob 時，這個過程是Alice 把她錢包地址中先前交易剩下的UTXO，用她的私鑰進行簽名，發送到Bob 的地址，該過程是1 個新的交易，而Bob 得到的是1 個新的UTXO。因此，比特幣的轉移過程通過UTXO 模型實現，從而使得比特幣以鏈式在用戶之間轉移。

在區塊鏈中，用戶都有1 個和真實身份無關的虛擬身份，即比特幣地址。用戶通過這些地址進行交易，但區塊鏈上的每筆交易數據都是公開透明的。如果用戶的其中1 個比特幣地址暴露，那么用戶所有相關比特幣地址都可能泄露，甚至可能危及與該用戶相關的其他用戶地址。作為比特幣用戶真實身份去匿名化的關鍵過程，地址聚類一直是研究熱點。主流的地址聚類是基于啟發式的地址聚類研究，利用區塊鏈上比特幣交易的輸入輸出關系來聚類比特幣地址。文獻［15-16］分別提出基于多個輸入地址和一次性更改地址的啟發式地址聚類方法，奠定了后續比特幣地址聚類研究的基礎。文獻［17］提出一種啟發式聚類方法來判斷比特幣地址之間的關系，并設計一種改進的Louvain 算法，用于探索用戶交易社區情況，以跟蹤比特幣交易。文獻［18］基于文獻［15-16］方法，從地址重用的角度考慮并提出一種基于地址重用變化的啟發式地址聚類方法，使得區塊鏈上地址聚合率平均提升了0.33%。文獻［19］分析比特幣交易和地址之間的關聯，發現單一的啟發式方法難以全面準確地聚類大量地址。因此，本文綜合運用多種啟發式算法對地址進行聚類，提高地址聚集程度和地址召回率，并利用社區檢測算法進一步探索實體之間的潛在關系，為進一步推斷實體身份奠定基礎。另一類研究是基于地址聚類方法的應用，利用明網和暗網上比特幣地址的關聯關系去匿名化參與暗網交易用戶真實身份。文獻［20］通過檢查區塊鏈的歷史交易，將鏈上交易比特幣地址作為連接明網與暗網之間的橋梁，把在線社交網絡上如Twitter 等公開分享比特幣地址的用戶和在洋蔥域名網頁上公開分享比特幣地址的洋蔥域名的關聯關系作為關鍵紐帶，使得用比特幣支付的暗網用戶去匿名化。

上述研究旨在利用比特幣的偽匿名性，通過啟發式地址聚類以及社區網絡方式將同一用戶控制的多個地址相連接，進而去匿名化比特幣用戶身份。除此之外，本文認為還可以通過比特幣地址與其所處暗網服務的關聯實現一定程度的去匿名化。因而，本文重點關注與暗網關聯的比特幣地址信息，包括類別、流行度和威脅程度，為追蹤比特幣非法交易提供有價值的信息。

2 暗網比特幣地址威脅程度分析框架TLAFDB

2.1 系統框架

為了對暗網中加密貨幣威脅程度進行深入的研究，本文設計TLAFDB 框架，其總體架構如圖1 所示。TLAFDB 由3 個主要模塊組成：1）信息收集模塊分別從明網和暗網2 個源頭利用爬蟲收集安全等級更高的v3 洋蔥域名，克服暗網爬蟲的連通性問題，構建版本升級后的v3 洋蔥域名數據集；2）信息清洗模塊從暗網網頁的文本數據篩選出存在真實交易的比特幣地址并去除鏡像洋蔥域名，建立比特幣地址和所在v3 洋蔥域名關聯信息表；3）信息分析模塊采用人工檢查和關鍵詞匹配相結合的方法分類v3洋蔥域名，并據此賦予比特幣地址類別、流行度和威脅程度，揭示了Tor 在v3 洋蔥域名全面更新后的暗網業務形態。

圖1 TLAFDB 框架Fig.1 TLAFDB framework

2.2 信息收集模塊

不同于普通的萬維網服務，Tor 提供的匿名服務必須使用特殊的Tor 瀏覽器才能訪問。由于地域限制，需要開啟VPN 代理并使用其內置的obfs4 等網橋接入Tor 瀏覽器。與使用Tor 瀏覽器訪問洋蔥域名不同，使用爬蟲訪問洋蔥域名時利用的是Tor 源碼，因此無法調用Tor 瀏覽器內置的obfs4 等網橋，僅開啟VPN 代理無法使爬蟲成功訪問Tor 網絡。為了將爬蟲接入Tor 網絡，本文使用境外服務器解決爬蟲接入時因無法使用內置網橋存在無法連通問題。具體過程是先租賃境外服務器并開啟服務器的9150端口，然后下載Tor 源碼并修改其torrc 配置文件，使得Tor 服務在TCP 端口9150 上提供socks5 代理服務，用于在瀏覽器和客戶端之間傳遞socks5 數據包，配置步驟如圖2 所示。

圖2 Tor 服務配置步驟Fig.2 Configuration steps of Tor service

在Tor 網絡連通后，由于其數據傳輸時使用socks5 協議，而Python 中的requests 爬蟲模塊默認使用http 協議，因此需要在爬蟲程序中設置socks5 代理以接入Tor 網絡。本文使用socks5h 代理，以便socks5 在本地DNS 解析過程失敗時可以啟用遠程DNS 解析，實現代碼如算法1 所示。

算法1暗網爬蟲

大量的洋蔥域名都是非法服務且只在小范圍內流傳，在普通的網頁中很難獲取得到［21］。The Hidden Wiki 等明網目錄網站只提供有限數量的洋蔥域名，對于暗網洋蔥服務的分析遠遠不足。因此，本文還從流行暗網搜索引擎Ahmia［22］和Onion Search Engine［23］通過輸入如drugs 等 關鍵詞獲取 最新的洋蔥種子域名來爬行暗網。對于每個初始洋蔥種子域名，爬蟲訪問它的網頁，利用正則表達式和廣度優先搜索算法遍歷篩選v3 版本的洋蔥域名直至沒有產生新的洋蔥域名，表達式為［0-9a-zA-Z］｛56｝.onion，得到最終v3 洋蔥域名數據集。

2.3 信息清洗模塊

根據加密貨幣跟蹤網站CoinMarketCap［24］統計顯示，比特幣是最熱門且市值最高的加密貨幣，因此本文選擇比特幣作為研究對象。比特幣有3 種地址格式，如表1 所示。地址“1”開頭是傳統地址格式，地址“3”開頭是兼容地址格式，地址“bc1”開頭是Segwit 地址格式，其中“1”“3”開頭的地址采用Base58 編碼，而“bc1”開頭的地址采用Bech32編碼。

表1 比特幣地址格式Table 1 Bitcoin address format

為了從v3 洋蔥域名網頁文本中提取全部比特幣地址，本文融合傳統、兼容和Segwit 地址格式提供一種同時覆蓋Base58 和Bech32 編碼的比特幣正則表達式（［13］|bc1）［a-zA-HJ-NP-Z0-9］｛25，39｝。但是，暗網網頁中存在大量復雜文本，并不能保證正則化表達式匹配到的候選比特幣地址就是存在真實交易的比特幣地址。Blockchain.com［25］是一種區塊鏈搜索引擎，詳細記錄了區塊鏈中每個區塊、每筆交易以及錢包、交易所地址等信息。為了保證比特幣地址存在真實交易，本文利用Blockchain.com 搜索爬取到的候選比特幣地址，當網頁出現“Oops！We couldn’t find what you are looking for.”，說明該比特幣地址不存在，以此來確認真實存在的比特幣地址，再利用Blockchain.com 搜索真實存在的比特幣地址，當網頁出 現“This address has transacted 0 times on the Bitcoin blockchain.”時，說明該比特幣地址尚未進行過交易，以反向篩選存在真實交易的比特幣地址。

在區塊鏈上可以查詢比特幣地址交易量，但不能獲取其類別。為此，利用比特幣地址與所在洋蔥域名的關聯關系不僅可以將洋蔥域名網頁的類別傳遞給比特幣地址，還能附帶其流行度。因此，本文根據存在真實交易的比特幣地址數據集和其所在v3洋蔥域名的關聯關系建立兩者的關聯信息表。

洋蔥域名容易生成且無須成本，因而暗網服務提供者為了增加暗網用戶訪問概率以及避免被網絡監管關閉，往往會生成大量洋蔥域名，導致相當一部分洋蔥域名是內容完全相同的鏡像域名。針對明網中網頁鏡像域名的篩選方法主要是基于網頁主題關鍵詞的詞頻向量，通過計算余弦相似度比較2 個網頁的相似性。假設給定網頁a和b中的主題關鍵詞，列出網頁a和b的關鍵詞集合S，根據集合S計算得到網頁a的詞頻向量Sa=（ωll，ωl2，…，ωln），網頁b的詞頻向量Sb=（ω21，ω22，…，ω2n），這2 個網頁之間的相似度Sim（Sa，Sb）的計算式如式（1）所示：

然而，明網和暗網文本存在差異，使得適用于明網的方法并不完全適用于暗網。為了減少后續分類中人工檢查的工作量，本文提出一種針對暗網的鏡像洋蔥域名篩選方法，該方法考慮3 個因素：1）同一洋蔥服務的不同站點通常只有域名不同，而標題往往是相同的；2）考慮到暗網服務提供者不太可能在洋蔥域名網頁上放上他人的比特幣地址作為收款地址；3）在計算洋蔥域名的PageRank 評分時，注意到相近PageRank 評分的網頁通常互為鏡像域名。因此，本文將2 個洋蔥域名標題、洋蔥域名上出現的比特幣地址以及洋蔥域名PageRank 評分等信息合并成1 個關鍵詞集合，然后根據集合生成各自的詞頻向量，最后計算2 個網頁詞頻向量的余弦相似度。當余弦相似度大于預設的閾值時，就認為這2 個網頁互為鏡像洋蔥域名。冗余的鏡像洋蔥域名將被刪除，只保留其中1 個鏡像洋蔥域名重寫入比特幣地址和所在v3 洋蔥域名關聯信息表。

2.4 信息分析模塊

對于網頁的分類問題，本文使用Python 中的自然語言處理工具包（NLTK）對關聯信息表中的洋蔥域名網頁內容進行處理。因為網頁中提取到的文本信息并不是完整的文章，只有零散的單詞，不適合考慮單詞前后間的聯系，所以未使用TextRank和RAKE算法，僅依據詞頻和逆文本頻率來評估單詞的重要性，具體選擇TD-IDF［26］算法提取每個網頁中評分最高的前8 個詞。此外，由于暗網文本充斥著大量俚語、黑話和一些不常見的詞匯，能提取到的有效關鍵詞并不多，因此基于支持向量機（SVM）的文本分類模型效果并不理想。針對該情況，本文先根據網頁內容中索引的洋蔥域名數量特征區分出門戶類，然后對剩余網頁統計網頁中關鍵詞出現的次數，根據關鍵詞詞頻并輔助人工篩選后，建立1 個13 種類別的非門戶類基礎分類詞匯表，如cocaine、cannabis 等出現頻率較高且特征明顯的詞匯歸入分類詞匯表的毒品類，如表2 所示。在此基礎上，擴充各類別中名詞的復數形式以及動詞的各時態形式，最終得到完整的非門戶類分類詞匯表。

表2 非門戶類分類詞匯（部分）Table 2 Non-portal classification vocabulary（partial）

本文根據網頁內容中索引的洋蔥域名數量是否多于特定閾值（本文將該值設為15），將洋蔥域名網頁分為門戶類和其他類，使用已建立好的分類詞匯表對其他類的網頁進行分類。如果提取到的網頁主題關鍵詞匹配到分類詞匯表的某個類別，則將該網頁歸入相應的類別。盡管大多數網頁可以準確地歸入相應的類別，但是仍有少部分網頁提取到的關鍵詞（例如"please""days"等）與類別無關。為了解決這個問題，本文結合人工檢查的方法，將這些網頁歸類到正確的類別。相對于完全依賴人工訪問大量洋蔥域名網頁進行分類的方法，這種方法既確保分類的準確性，又節省大量時間。

經分類后發現比特幣地址并非只會一對一出現在單個類別暗網頁中，還會以一對多的形式出現在不同類別的暗網頁中。帶分類的關聯信息示例如表3 所示。表3 中的第1 個比特幣地址出現在3 個不同類別的網頁中，分別是販卡類、黑客類和賭博類。

為此，本文進一步對比特幣地址類別的威脅性進行區分，對于出現在毒品和市場等類別中作為付款地址的比特幣地址，由于類別威脅性較高且明確，因此認為其威脅性最高為Sh。出現在論壇、販卡等類別中的比特幣地址可能是非法或合法的，因此認為其威脅性中等為Sm。對于出現在門戶、博客等類別中的捐贈比特幣地址類別威脅性較低且多用于維持站點，因此認為其威脅性最低為Sl，如表4所示。

表4 各類別威脅性示例Table 4 Examples of various categories threat

為了幫助監管人員有重點地追蹤和分析非法比特幣地址，本文提出一種威脅程度排名規則，該規則主要考慮2 個因素：1）比特幣地址的威脅程度與其類別威脅性相關，如果比特幣地址出現在Sh的高危暗網服務上，其威脅程度就很高，遠高于所有僅出現在Sm的中危暗網服務上的地址，同樣地，如果比特幣地址出現在Sm的中危暗網服務上，其威脅程度中等，遠高于所有僅出現在Sl的低危暗網服務上的地址；2）比特幣地址的威脅程度還與其PageRank 評分有關，PageRank 分越高說明網頁被關注率越大，說明用戶更容易中招，危害程度更大。

給定比特幣地址各自的類別威脅性集合都包含a個Sh、b個Sm、c個Sl，其中a∈［0，+∞），b∈［0，+∞），c∈［0，+∞）。基于以上2 個因素，本文制定的具體規則如下：

1）規則1 篩選出所有比特幣地址各自類別威脅性最高的情況，即Max（Sh，Sm，S）l，將比特幣地址分到Sh、Sm、Sl3 類集合中。

2）規則2 根據a、b、c的數量關系分別在3 類集合中進行排名，先比較a的數量，數量越多代表該地址在此類集合中排名越高。如果a數量相等，則比較b數量，數量越多代表該地址在此類集合中排名越高。如果a、b數量相等，則比較c數量，數量越多代表該地址在此類集合中排名越高。如果a、b、c數量都相等，則按照PageRank 評分高低進行排名。

3）規則3 按照Sh>>Sm>>Sl的類別集合順序進行整體排名。

3 實驗結果與分析

不同于普通明網爬蟲，本文所提出的是面向v3版本洋蔥域名的暗網爬蟲。文獻［9，27］提出的暗網爬蟲框架都采用Privoxy 等軟件將Tor 的socks5 協議轉為終端全局代理http 協議的方法來連通暗網，而本文在境外服務器上部署暗網爬蟲并使用socks5h代理接入Tor 網絡，只需簡單配置就可連通暗網并獲取v3 洋蔥域名。實驗在信息收集環節，通過2022 年4 月5 日—4 月10 日收集到23 627 個v3 洋蔥域名。本文指出，有些暗網網頁的生命周期非常短暫，在收集數據的一周后，能繼續訪問的網頁只有23 147 個。此外，經過更長時間爬取后所增加的新網頁較少，實驗最終收集到22 048 個含有效信息的網頁，其中包含無效的人機驗證網頁、40x和50x報錯網頁以及編碼不正確網頁。本文共收集到v3 洋蔥域名23 147 個，40x、50x 報錯網頁共480 個，編碼不正確網頁共490 個，人機交互網頁共129 個，v3 洋蔥域名含有效信息網頁共22 048 個。

本文通過對上述22 048 個含有效信息的v3 洋蔥域名網頁中發現的比特幣地址在Blockchain.com上進行數據清洗后，總計發現了1 141 個存在真實交易的比特幣地址。比特幣地址與洋蔥域名的關聯信息如圖3 所示，755 個比特幣地址只與單獨的洋蔥域名有關聯，占比為66%，其余比特幣地址所在洋蔥域名都存在數量不等的鏡像域名，其中，有3 個比特幣地址所在的洋蔥域名存在265 個鏡像域名。由此分析，絕大部分比特幣地址在暗網生態中都處于相對獨立的狀態，只有小部分比特幣地址所在的洋蔥域名存在大量相似的鏡像域名。因此，本文通過第2.3 節的篩選方法從比特幣地址所關聯的3 732 個洋蔥域名中去除2 538 個鏡像洋蔥域名，最終保存1 194 個洋蔥域名到關聯信息表中。

圖3 比特幣地址與洋蔥域名關聯信息Fig.3 The associated information of Bitcoin address and onion domain name

為驗證人工檢查和關鍵詞匹配相結合的網頁分類方法的準確率，本文通過Ahmia 等搜索引擎輸入上述14 種類別關鍵詞收集網頁內容，使用TF-IDF 算法提取每個網頁中評分最高的前8 個詞作為關鍵詞進行SVM 模型訓練，再用訓練好的SVM 模型對驗證集進行分類，結果如圖4 所示。SVM 模型的準確率、召回率、F1 值都可以穩定在96%～98%，而本文提出網頁分類方法的準確率達到100%。

圖4 支持向量機模型分類結果Fig.4 Classification results of support vector machine model

本文通過人工檢查和關鍵詞匹配相結合的方法對比特幣地址進行分類，結果如圖5 所示。這些比特幣地址所在的暗網主要提供比特幣投資類服務，占比達到88.19%。具體分析表明，比特幣投資類主要涉及虛擬貨幣兌換現金、以少買多、銀行卡克隆等非法詐騙服務，即龐氏騙局。相比之下，屬于非詐騙的一般交易類只占比5.19%，但仍然排名第2。黑客、賭博、毒品類的占比均相對較小，因為該類網站通常不會在網頁表層展示比特幣地址，所以需要通過訪客身份驗證或受信任的買家介紹等方式進入更深層次的暗網交易才能訪問。

圖5 比特幣地址類別占比Fig.5 Ratio of Bitcoin address category

本文實驗還發現1 個比特幣地址可能出現在不同類別的暗網頁，但是比例非常低，只有4.5%。3 種不同的比特幣地址類別有2 個，2 種不同類別的比特幣地址有49 個，同類別的比特幣地址有1 000 個。該現象符合暗網比特幣交易專業性較強的特點，賣家的特定比特幣地址主要以參與某類暗網業務為主。

按照本文提出的威脅程度排名規則，構建如表5所示的比特幣地址威脅程度排名表。文獻［28-29］使用比特幣交易數據（如交易輸入及輸出地址、交易時間戳等）識別比特幣異常交易數據集，相關人員僅了解到 如 1FWrm3Z1g2W4kEQXgsUyHXEk2S9 dTVK54P 等異常交易比特幣地址在區塊鏈上的交易量以及交易行為信息。然而，表5 可以幫助研究人員擴充有關該比特幣地址的更多信息，如比特幣地址信息出現在販卡類、賭博類、黑客類等多種業務中，盡管與被暗網用戶關注的概率相比門戶類網站上的比特幣地址來說較低，但其威脅程度排名第2，說明其在特定領域具有一定的重要性。此外，表5還包括了因在區塊鏈上的交易行為并無顯著異常而無法識別部分危險比特幣地址，有助于研究人員更全面研究非法交易。

表5 比特幣地址威脅程度排名（部分）Table 5 Bitcoin address threat level ranking（partial）

暗網比特幣地址威脅程度整體分布情況如圖6所示。其中，Sh比特幣地址的數量是1 088 個，占所發現的比特幣地址高達95%。在這些比特幣地址節點中，有許多是孤立的，即它們的PageRank 為0。造成這種現象的原因是這些地址所在的洋蔥域名僅來自于暗網搜索引擎，且它們多專注于自身業務，不會在暗網中傳播其他洋蔥域名，也不會被其他洋蔥域名傳播。圖6 中 有3 個比特 幣地址（A、B、C）的PageRank 評分較高（彩色效果見《計算機工程》官網HTML 版）。A是Sh比特幣地址中參與多個暗網業務和參與某一類暗網業務的分界地址，B 是地址中參與單個Sh高危暗網業務和參與單個Sm中危暗網業務的分界地址，C 是地址中參與單個Sm中危暗網業務和參與單個Sl低危暗網業務的分界地址。它們都出現在各威脅性的單個暗網業務中，分別對應色情類、販卡類和門戶類。相比之下，參與多個暗網業務的比特幣地址PageRank 評分不會太高。

圖6 比特幣地址威脅程度分布Fig.6 Distribution of Bitcoin address threat level

本實驗還結合其在區塊鏈上的交易量進行綜合分析，發現龐氏騙局交易量約占Sh比特幣地址總交易量的99%。實驗結果表明，超過95%的比特幣地址被惡意使用，大多數流向了龐氏騙局等非法業務。另外，統計Sh比特幣地址的其他類別、Sm比特幣地址和Sl比特幣地址的交易總額發現，其總額為791.05 BTC，僅占比1%。對于Sm比特幣地址的交易額較少的原因，可能是這些非詐騙交易在投資翻倍性方面不如龐氏交易更具吸引力。而對于Sl比特幣地址的交易額較少的原因，可能是這些網站缺乏利益驅動，只是希望暗網用戶自愿捐款以維持站點。本文特別關注毒品、槍支等類別的Sh比特幣地址交易額較少的情況，發現這些網站表面上提供的比特幣地址僅用于在面上收取定金等，以觀察買家的誠意，進一步的交易活動需要在彼此建立信任關系后，在更深層次的暗網中進行。

4 結束語

針對暗網生態的多變性以及比特幣相關研究的局限性，本文提出一種針對v3 洋蔥域名的暗網比特幣威脅程度一體化分析框架TLAFDB。該框架針對v3 洋蔥域名的數據收集，并提供一種通用的爬蟲連通暗網方案。與利用區塊鏈上比特幣地址交易關系和交易行為追蹤非法比特幣地址交易不同，TLAFDB 更關注比特幣地址在暗網上相關信息的利用。實驗結果表明，在暗網中同一比特幣地址會出現在大量相似的鏡像洋蔥域名網頁上，超過95%的比特幣地址涉及龐氏騙局等非法業務，揭示了v3洋蔥域名全面更新后的暗網業務形勢。下一步將利用TLAFDB 分析得到的暗網比特幣地址信息，以輔助確認并跟蹤區塊鏈上可疑交易行為地址。此外，還將關注暗網網頁周期變化以及網頁中比特幣地址的變化情況，以探究比特幣地址聚類優化問題。