加密数字货币恐怖融资监管：交易模式分析与异常实体识别

颜嘉麒 王佳鑫 毛谦昂 严丹妮

（1.南京大学信息管理学院，南京，210023；
2.中国石化江苏苏州石油分公司，苏州，215101）

以区块链公链技术为支撑的加密数字货币，由于其去中心化、匿名性、全球性、交易成本低等特征[1]，契合恐怖组织和犯罪分子在国际范围内募集和转移资金的需求。数字货币恐怖融资，是指恐怖组织为了在恐怖主义活动中占有和使用资金，以加密数字货币支付的方式和手段，直接或间接地、非法和故意地为恐怖活动提供或筹集资金，以开展恐怖主义和危害国家的活动。

据目前国际公开的文献资料显示[2]，对数字货币恐怖融资的研究是恐怖融资分析和加密数字货币监管的交叉研究。目前对于加密数字货币中恐怖融资的识别和监管的研究相对较少。相较于加密数字货币监管研究和传统的恐怖融资分析，由于存在恐怖融资信息异构、加密数字货币交易数据海量且匿名、数字货币恐怖融资模式复杂等问题，目前分析和识别数字货币恐怖融资交易行为存在较大的困难。

本文选取较大规模的比特币恐怖融资案进行实证调查分析，通过收集恐怖融资案真实的比特币交易数据建立交易网络模型，利用社会网络分析方法识别异常地址和交易模式，并使用机器学习算法判断比特币拥有者的实体身份，为监测与打击数字货币恐怖融资行为提供理论参考，以期能更好地推动区块链上犯罪行为的分析、识别和监管。

2.1 恐怖融资与数字货币恐怖融资

在1999年联合国《制止向恐怖主义提供资助的国际公约》中，恐怖融资的定义是：任何人为了将全部或部分资金用于恐怖主义活动，而以任何手段直接或间接地、非法或故意地为恐怖主义活动提供或筹集资金[3]。国外学者较早关注反恐怖融资机制的独特内涵和重要价值，在“911”恐怖袭击事件发生后，国外学者对恐怖融资的资金来源、资金转移渠道，以及反恐融资机制的内涵、作用、发展历程、成效等方面进行了较为全面深入的探讨，主要从以下四个角度来研究恐怖融资问题。

（1）分析对比当前恐怖融资和反恐融资战略形势。Trinkunas[4]从政治经济学等角度探讨恐怖融资，并以此为基础介绍如“基地”组织、真主党等恐怖组织，以及东非、欧洲等地区的恐怖融资；
Butt[5]和Hussain[6]等评估和研究了巴基斯坦的恐怖融资情况和反恐措施与法律；
Hamin[7]和Naheem[8]分别介绍了恐怖融资和反恐怖融资在马来西亚和科威特的现状，并评估了目前在当地所采取的措施。

（2）研究恐怖融资的资金来源、筹集方式、流通渠道等。在恐怖融资的资金来源方面，肖宪[9]等将其分为通过非法经营、移民汇款、外国援助等途径筹集资金的各种犯罪活动，如盗用善款、走私、贩毒、人口贩卖、抢劫等；
范万栋[10]解析了恐怖组织经费来源及流转途径；
Gerald[11]讨论了恐怖组织如何通过渗透或操纵非赢利组织谋利。在融资方式与渠道方面，徐方[12]和方金英[13]等学者以本·拉登为案例研究对象，深入剖析了基地组织融资的方式和特征；
Keatinge[14]等分析和研究社交媒体在恐怖融资中的角色，并呼吁监管机构关注社交媒体平台的影响和作用。在流通渠道方面，Gabriel[15]用案例研究证实了恐怖组织利用加密数字货币如比特币在暗网上进行融资；
Whisker[16]等探讨了移动货币交易的各类特征，以及它对反恐融资和反洗钱体系的威胁；
Whyte[17]主要研究加密数字货币如何影响恐怖组织活动。

（3）剖析洗钱和恐怖融资、反洗钱和反恐融资之间的相互关系。国内对此研究较多，如童文俊[18]明确了恐怖融资与洗钱犯罪在目的、行为方式、社会危害性三个方面的区别；
King[19]等讨论反洗钱政策与反恐融资政策两者的相互关系。

（4）评估反恐融资办法，并提出改进意见。Bara daran[20]等探讨美国和国际社会在反恐融资方面的努力和不足，然后针对这些努力的成效运用田野调查法进行调查统计，最终提出改进美国金融反恐战略的建议。Niclas[21]利用恐怖组织资金需求金额、被冻结或被罚资金金额、反恐融资对合法经济活动的影响等指标来评估当前国际反恐融资斗争的有效性，剖析存在的问题并提出对策建议。

目前国内学者对于恐怖融资的研究尚未充分深入到技术细节，研究问题比较分散，相关文献积累较少，主要从立法、制度和政策等角度进行理论研究，而对恐怖融资技术和渠道的系统性研究比较欠缺。而在目前的技术背景下，加密数字货币已俨然成为了恐怖融资常用的金融方式和手段。加密数字货币具备匿名性、全球性、不可否认、交易费用低廉、难以实时监控等特点[22]，这与恐怖分子期望利用互联网将资金工具转移到全球范围内的企图不谋而合。据Chainalysis在2021年初发布的报告[23]显示，在非法的加密数字货币交易中，恐怖融资的份额已经呈现出逐年增多的趋势，恐怖组织在网上吸引加密数字货币捐赠的能力正在增强，而且融资方法也变得更加繁琐和复杂。

恐怖融资方式在数字平台上日趋复杂且形式多样。Andrianova[24]指出恐怖组织可能会利用社交平台、网络游戏、移动应用程序以及外接电子设备等工具进行加密数字货币恐怖融资的活动。以色列反恐研究中心在2018年[25]和2019年[26]发布的两份报告中揭露“圣战组织”的媒体部门首次使用社交媒体和加密数字货币进行恐怖融资活动的细节，并揭示恐怖组织正在使用包括但不限于比特币的加密数字货币开展恐怖融资活动。如今对加密数字货币的规范和使用缺少统一的国际标准，因此，提倡世界各国制定一个统一标准以推进加密数字货币恐怖融资的监管和降低其可能给国家带来的安全风险迫在眉睫[27]。我国尽管目前还未公开披露加密数字货币恐怖融资的案例，但面临的相关风险和威胁也在不断加剧。

2.2 比特币交易数据分析

比特币是目前交易量最大、最活跃的加密数字货币，也是目前恐怖融资最常见的数字货币支付方式之一。利用分布式点对点技术，比特币能保证交易过程不涉及任何金融机构，实现付款方与收款方直接交易的功能[28]。

在比特币网络中，未花费交易输出（Unspent Transaction Output,UTXO）是比特币的基本交易单位[29]。图1展示基于UTXO的比特币交易模型。比特币交易过程涉及输出和输入，输出是指某账户拥有的比特币数量，正是这种UTXO模式设计，让区块交易相互链接；
输入主要是指比特币来源，即上一个交易的UTXO，与某账户拥有的比特币数量无关。比特币交易有如下特点：交易可进行多次输出和输入；
交易记录公开透明；
涉及隐私信息交易时，会对隐私信息进行保护，并利用公钥和私钥的对应关系，识别付款方与收款方的交易信息。

图1 基于UTXO 的比特币交易模型Fig.1 Bitcoin Transaction Model Based on UTXO

比特币的一个突出特征就是匿名性，即一个用户或实体可以自己生成和拥有多个钱包地址，这就使得用户的交易记录和行为分散在大量地址中，增加了分析、识别和监管的难度。现有研究对比特币犯罪行为的分析主要分为以下三个方向。

（1）调查、描述与分析比特币犯罪行为，即研究比特币与犯罪之间的相互关系、比特币犯罪模式及其影响，并预测其未来的发展态势。Engle[30]等研究了以比特币为代表的加密数字货币、犯罪与伪造之间的相互关系；
Caporale[31]使用非线性马尔可夫方法分析利用比特币和其他加密数字货币进行网络攻击的犯罪形式和手段；
Stroukal[32]等描述对利用比特币和其他加密数字货币进行非法商品贸易和黑市的现状，并预测其未来发展趋势；
磨惟伟[33]分析了以比特币为代表的加密数字货币在国内与国际上的犯罪类型与案件，并从信息安全、金融安全、技术创新和政策法规等层面对加密数字货币的治理与监管提出改进和完善的建议。

（2）利用机器学习算法对比特币犯罪行为进行建模与识别，即通过提取洗钱、欺诈等犯罪账户的特征，建立模型检测区块链中的犯罪行为。Vassallo[34]等提出了改进的梯度增强算法以更好地适应比特币动态的交易场景；
Oakley[35]等利用马尔可夫模型进行比特币洗钱的研究，以推断用户与事件之间的关系；
Bartoletti[36]等通过机器学习算法来识别比特币交易数据中潜在的庞氏骗局；
Sun[37]等提出比特币区块链去匿名化的新方法，即利用监督机器学习算法来预测尚未识别的实体类型和识别疑似参与网络犯罪活动的比特币地址集群。

（3）利用社会网络分析方法对比特币犯罪行为进行建模与识别。Reid[38]等最先为加密货币交易分析引入了网络建模的概念，提出了比特币交易网络和用户网络的设计。Wu[39]等人提出了一种基于混合网络模体的检测方法，可以更好地表征不同混币服务的交易模式。Ron等[40]基于实体网络构建了大额的比特币交易子网络，深入研究得出多种不同的交易模式。Battista[41]等人重点设计和介绍BitConeView可视化系统，该系统可以及时地、直观地监测比特币交易网络中存在的非法行为。

由此可见，相较于传统的恐怖融资，比特币恐怖融资场景具有隐蔽性更高、复杂度更高、交易实体更丰富等特点。现有研究缺乏针对数字货币恐怖融资事件的深入分析和探讨，缺少对加密数字货币交易中恐怖组织实体、交易事件的挖掘和复杂交易网络信息的加工。因此，本文结合社会网络分析方法和机器学习算法识别比特币恐怖融资交易模式和异常实体。

本文研究框架包含四个模块：数据收集、交易网络构建、比特币恐怖融资交易模式分析和比特币恐怖融资异常实体识别。研究框架如图2所示。

图2 研究框架Fig.2 Research Framework

在数据收集与处理模块中，首先收集恐怖组织信息、社交媒体信息、比特币交易数据和标签数据，以此作为数据来源用于后续实证研究。在交易网络构建模块中，基于广度优先遍历算法对资金的来源和去向进行追溯，分析比特币交易模型并据此设计地址-交易关系网络模型。在恐怖融资交易模式分析模块中，采用社会网络分析方法对比特币恐怖融资行为展开探索，识别资金来源和去向中的异常地址，以及关联实体之间的交易模式。在恐怖融资异常实体识别模块中，结合异常地址和交易模式的分析结果，提取交易基础特征和交易关联地址特征，基于机器学习算法建立地址分类模型，以识别异常实体并进一步验证比特币恐怖融资交易模式的特征。

3.1 数据收集

本文选择如下三个数据集：比特币交易、比特币实体标签和比特币恐怖融资活动数据集。比特币交易数据集记录比特币网络交易数据，比特币实体标签与恐怖融资活动数据集主要来自相关网站的公开可用数据。实体标签数据有助于将匿名的比特币用户映射至现实世界的身份；
恐怖融资活动数据由已知比特币恐怖融资活动涉及的钱包地址组成。数据集的来源和处理方法具体如下。

（1）比特币链上交易数据

所有比特币交易都记录在分布式公共账本上。每个比特币区块包含上千笔公开交易记录。一笔典型的比特币交易（如表1所示）由匿名地址表示的发件人和收件人、发送比特币数量、交易完成时间与区块高度等详细信息组成。

表1 典型的比特币交易记录Table 1 A Data Example of the Typical Bitcoin Transaction Record

本文利用比特币官方开源钱包客户端Bitcoin Core[42]下载对应时间窗口中发生的比特币交易数据，并自动同步数据。Bitcoin Core是最早、最完整的区块链钱包客户端，其具备下载与存储完整比特币区块链数据、新建与签名交易、P2P网络广播交易、验证交易并打包到区块、发送和接收比特币等核心功能。

由于从比特币客户端Bitcoin Core下载的区块链交易数据为结构化二进制数据，需要进一步解析后才能存储到数据库中，因此使用开源工具Bitcoin-ETL[43]将原始数据解析为单独交易。Bitcoin-ETL能够将区块链数据按照区块范围或时间范围解析为包含多个具体字段的JSON格式文件。本文将时间窗口限定为2009年1月4日至2022年9月30日，并将对应区块高度从0到756,393的区块数据进行完整的解析，以方便后续资金追溯。

（2）比特币标签数据集

从WalletExplorer.com[44]、Blockchain.info[45]、Bitinfocharts.com[46]、Ethonym.com[47]等 加密数 字货币信息服务网站获取到比特币公开可用地址所对应实体的标签数据。标签数据包括但不限于交易所、赌博服务、矿池、诈骗、勒索软件攻击者、暗网市场、旧地址、高风险交易所和其他非法服务，涵盖不同类型的标签和实体。由于不同网站对同一钱包地址提供了不同的标签，本文合并文字不同但语义相同的标签样本；
同时保留文字与语义都不同的标签样本，认为一个地址可能涉及多种类型的犯罪活动。

交易所标签指允许其客户用法定货币兑换比特币的服务商实体，包括中心化交易所、去中心化交易所、KYC(Know Your Customer，即客户身份审核)认证要求最低的高风险交易所等；
暗网指代通过比特币进行走私或非法服务交易的实体；
赌博服务指代使用比特币作为赌注的赌博游戏中的实体；
矿工指多个挖矿矿工组成的实体；
诈骗指假装提供服务欺骗客户从而窃取比特币的实体；
勒索软件攻击者指利用比特币区块链作为交换媒介收取赎金的实体；
旧地址指已被废弃不用的实体。

（3）比特币恐怖融资活动数据集

本文收集到与恐怖融资相关的比特币地址主要来源于2020年8月美国联邦司法部发布的起诉文件[48]，该文件主要报告了迄今最大规模的基于加密数字货币的恐怖融资活动，即恐怖组织卡萨姆旅组织（Al-Qassam Brigades,AQB）从2019年至今的比特币恐怖融资招募活动。基础数据为报告附件中列出的被查封的钱包地址。

AQB恐怖组织成立于1992年，在欧盟、美国、澳大利亚、英国等被列为恐怖组织，被指控策划过多起恐怖袭击，目前被联合国安理会列为世界恐怖组织之一。AQB大型组织在2019年基于比特币发起了多起招募融资活动，因此收集和分析此案例数据有助于挖掘当前比特币恐怖融资交易行为的特点。鉴于起诉文件中提供的地址交易记录与实际比特币网络交易记录存在差异，因此在人工删除了当前查询不到交易的非法地址之后，最终筛选出115个招募钱包地址。

同时，已公开披露的比特币恐怖融资交易案例表明恐怖组织主要通过在线社交媒体平台（如Twitter和Telegram）发布资金招募地址和活动详细信息，因此，为了进一步了解恐怖融资的背景信息和活动情况，本文从社交媒体的遗留内容与存档信息中收集恐怖融资活动相关的招募信息。

3.2 比特币恐怖融资交易网络构建

比特币交易使用UTXO模型来进行余额记录，每一条交易记录中都记录交易的地址来源与花费，由此每一个地址都可进行交易溯源与追踪。为了深度梳理资金交易流转结构和可视化呈现复杂的账户关系网络，本文对收集到的恐怖组织公开招募地址进行交易来源与流向追踪。参考以往研究[49]，本文采用广度优先遍历算法（Breadth First Search,BFS）进行资金追溯。考虑到庞大的交易数据和算法复杂度，设置追溯的层数n取1、2、3。

比特币的每笔交易都有多个输入和输出，且输入和输出之间的具体对应关系是不明确的，所以无法直接构建地址之间的币流动关系。本文通过一个中间节点（交易节点）表示币流动关系，将比特币恐怖融资交易建模成基于账户-交易关系的融资网络模型，实现实体身份和交易行为在网络空间与物理空间的匹配，以更好地从社会网络分析的角度探索恐怖势力在加密数字货币中的交易路径与行为模式。本文将比特币交易数据建模为一个加权有向图G=（V,E,W），如图3所示。

图3 基于账户-交易关系的比特币恐怖融资网络模型Fig.3 A Bitcoin Terrorist Financing Network Model Based on Account-Transaction Relationship

本文定义对象类型V为V=(Address,Transaction,Coinbase)，其中Address代表地址节点，Transaction代表普通交易节点，Coinbase代表挖矿交易节点；
对象类型E表示地址之间发送和接收的交易，E=(Input,Output)，其中Input代表地址输入指向交易，Output代表交易指向输出地址；
W表示所有有向边权值（比特币交易金额）的集合。表2展示了节点、有向边及其属性描述。

表2 节点、关系及其属性描述Table 2 Description of Nodes,Edges,and Attributes

4.1 异常地址节点分析

本文着重关注已构建的比特币恐怖融资网络，采用节点中心性指标进行分析，对指标评分降序即可得出融资网络中的异常节点。现已发展出许多中心性指标来识别节点的影响程度，例如度中心性、接近中心性、中介中心性和特征向量中心性等[50]，但目前缺少在比特币交易系统这一特定场景中的应用。本文针对比特币交易网络的场景，创新性地提出了融合局部节点信息和全局拓扑信息的中心性度量指标―黑暗度（Darkness Degree,DD），其计算方式如下。

定义1：交易距离（Transaction Distance,TD）

欧氏距离只关注节点的静态拓扑距离，不能有效地发现隐藏的动态信息。在实际的比特币动态交易中，地址和交易节点之间的关系是有方向性的。因此，本文中节点i到节点j之间直连的交易距离是从概率中抽象出来的距离，充分考虑了交易网络中节点之间的动态交互，定义为

其中，Di|j为节点i与节点j直接相连时的交易距离值，Pi|j为节点i与节点j交易的概率，Pi|j定义为

其中，ki为节点i在有向图中的出度，aij是图G邻接矩阵中的元素。

定义2：实体风险程度参数（Risk Level,RL）

相对于传统的节点中心性指标，考虑到地址节点的属性信息，根据实体本身的交易特征将收集到的实体分为低风险、中风险、高风险和严重风险四个级别，以量化不同实体在地址节点背后的影响。

本文将不同地址节点的风险级别从低到高进行编码，定义低风险参数Low RL=1，中风险参数Medium RL=2，高风险参数High RL=3，严重风险参数Severe RL=4。对于未知标签的地址节点，将其风险参数定义为0。

具体来说，低风险实体包括交易所、托管钱包、商业服务商等实体；
中等风险实体包括赌博服务、挖矿等实体；
高风险实体包括高风险交易所、暗网市场、勒索软件、诈骗、滥用等实体；
严重风险实体包括恐怖融资、黑客攻击等实体。

定义3：节点局部影响力（BLI）

节点i的局部影响力表示比特币交易网络的局部拓扑信息，定义为节点的入度除以网络中节点总数，即

其中，BLI(vi)为节点i的局部影响力，d(vi)为节点的入度，n为比特币交易网络中的节点总数。

定义4：节点全局影响力（BGI）

节点i的全局影响力表示节点在整个比特币交易网络中的传播控制能力，定义为节点对所有邻居节点的影响力之和，即

定义5：黑暗度（Darkness Degree,DD）

节点i的Darkness Degree定义为局部影响力和全局影响力的乘积，即

本文对追溯后的三层比特币恐怖融资网络计算各地址节点的黑暗度值，选取风险程度较高的前15个地址节点（如表3所示），并在blockchain.info、bitinfocharts.com、walletexplorer.com、ethonym.com

表3 Top15地址节点的黑暗度值Table 3 Darkness Degree Values of Top15 Address Nodes

等网站中匹配对应的比特币用户实体和角色，验证和追溯这些关键节点的交易路径。

观察到排名前三位的地址为起诉文件中报告的地址，其余异常地址的实体涉及各类已知或未知交易所（约56%）、高风险交易所（约21%）、未授权的服务商（约1%）、矿工（约1%）和其他与恐怖融资相关的实体（约4%）等。

对资金来源地址的黑暗度值排序分析发现，地址“1NDyJtNTjmwk5xP……Mu4HDHigtobu1s”的黑暗度值较高，通过进一步追溯可知，该地址参与到AQB恐怖组织各阶段的筹款活动，且交易比较分散，涉及多笔高额汇入多个募资地址的比特币交易，该地址背后的实体为高风险交易所，其非法地址被报告数最多，涉及诈骗、勒索、暗网市场及混合服务等多种分布世界各地的非法交易类型，可以看出恐怖组织获得的捐款不仅来自标准交易所，更多地来自高风险交易所和与恐怖融资相关实体等。在资金去向方面，地址“15LDRgdza4WrQW……S4tSCx2vwep1yo3”和“19D1i GzDr7FyAdiy……Md6ttHj1kj6WW”作为较多交易的枢纽中心，其黑暗度值都偏高，背后的实体为未经许可的货币兑换服务商，参与了AQB组织的资金兑换和洗钱。通过进一步搜证发现，大多未经许可的货币兑换服务商已将加密数字货币纳入全球经营和汇款业务中，因此恐怖组织会倾向利用此类不符合规定的服务商将加密数字货币兑换成现金。

4.2 关键交易模式分析

由于传统的社区发现算法往往只关注网络的中结构特征，无法在大规模的比特币交易网络分析任务中得到较好结果。为了更加高效地识别交易网络中的可疑群体及其交易活动，首先专注于约简数据量庞大的比特币恐怖融资交易网络。本文将网络中度数为2的节点（即无分岔节点）及其相关边替换为连接该节点邻居的一条边，并重复此过程，直到所有这些无分岔节点都被删除。这一步骤只是减少路径的长度，但并没有改变网络的拓扑结构。

一旦网络中所有无分叉的节点都被删除后，利用复杂网络领域中社区发现的研究方法[51]，采用Louvain社区发现算法搜索简化网络中所有的最大社区和最小社区。Louvain社区发现算法[52]是基于模块度的无监督启发式算法，该算法的优点是平均时间复杂度低、速度快，可以在较短时间内实现节点的分组和聚类，且能够发现层次性的社区结构。本文发现较多节点组成的社区比较少节点组成的社区更有可能存在可疑交易活动的风险。此外，多个社区交集的角色可能是不同可疑交易活动的枢纽中心，因此对这些地址和交易应予以优先考虑。

本文将重叠的集群分为社区，并恢复删除的无分岔节点，同时结合4.1 中定义的黑暗度指数，计算每个社区中节点的黑暗度值，特别关注黑暗度指数较高的节点，搜集其背后实体的标签和历史交易记录，并分析这些异常节点与社区内、外其他节点之间的交易模式和规律。如图4 所示，由于篇幅限制，这里仅展示基于社区发现的比特币恐怖融资子网络的部分，图中的节点有地址和交易两类，节点之间的连接有输入交易和输出交易两类，圆圈部分即为识别到的可疑交易群体。

图4 基于社区发现的比特币恐怖融资子网络（部分）Fig.4 A Bitcoin Terrorist Financing Subgraph Based on Community Detection

本文观察到AQB恐怖组织主要存在以下三种比特币交易行为模式：第一种交易模式（直接汇入模式）是将收集到的资金直接汇入交易所地址或服务商地址以进行货币兑换；
第二种交易模式（一次性地址中转模式）是使用临时的中转地址掩盖资金实际流向，这类中转地址一般在用户使用一次后就被丢弃，交易较为分散，资金通过临时地址流转后再被汇聚到交易所或服务商以进行货币兑换；
第三种交易模式（高风险交易所地址中转模式）是使用高风险、滥用的交易所或未授权的服务商地址作为中转地址，该模式中交易在多个交易所之间存在关联，且表现出“集中转入分散转出”的规律，即恐怖组织为隐匿资金的流向和行踪，将大额资金转入交易所后被分散成小额资金，最终转出至多个非法实体。

恐怖组织创建并利用比特币地址进行融资活动，地址和交易数据中会展现活动过程中的交易行为特征。因此，对恐怖融资地址进行识别、分类和预测具有重要的研究意义。

为了丰富地址数据集，进一步收集了发布在美国司法部官网、BitcoinTalk论坛[53]、BitcoinAbuse网站[54]上的共计310条比特币恐怖融资地址。本文将已获取的恐怖融资地址作为正例数据，将WalletExplorer网站抽取的合法的钱包地址作为负例数据。由于在以往的研究[55]中，整个比特币交易网络中非法实体占比较低。因此本文设定1：20的比例抽取数据，即每20个合法地址实例中有一个非法地址，最终共有地址数据6510条。恐怖融资地址标记为1，非恐怖融资地址标记为0。

5.1 特征选择

（1）基础交易特征

基础交易特征包括交易强度特征和交易频度特征两个方面。交易强度特征是指与交易金额数量、余额变化大小相关的特征，同时通过平均值和方差可进一步得到新的如地址输入比特币总值/均值/标准差、地址输出比特币总值/均值/标准差、地址交易余额历史最大值/最小值/差额等9个特征；
交易频度特征指地址交易频率、地址活跃天数、地址生命周期、地址参与交易总数、地址输入交易数量、地址输出交易数量、地址输入交易数量与输出交易数量之比等7个特征。

（2）交易关联地址特征

交易关联地址特征包括关联地址数及关联地址标签统计等特征。由4.2节可知，恐怖组织更倾向于与非法实体或未知实体进行交易，因此重点分析地址的关联交易节点，统计输入交易和输出交易中关联地址的实体标签分布情况。对应实体标签包括“滥用（abuse）”“交易所（exchange）”“矿池（pool）”“服务商（service）”“赌博服务（gambling）”“旧地址（old）”和“未知（unknown）”七种标签。特别地，滥用地址指包括但不限于垃圾邮件群发者组成的实体，主要数据来源于BitcoinAbuse网站。交易关联特征包括输入地址中“滥用”地址数量、输出地址中“滥用”地址数量、输入地址中“交易所”地址数量、输出地址中“交易所”地址数量等14个特征。

5.2 实验与结果

实验采取过采样的方法解决样本不平衡问题。本次特征选择采取方差过滤的方法，即删除方差为0 的特征。在实验过程中发现所有特征的方差值都大于0，因此本文保留所有的特征以覆盖更多的特征维度和信息。最后以7:3 的比例将数据集分割为训练集和测试集。

本文运用逻辑回归（Logistic Regression）、支持向量机（SVM）、随机森林（Random Forest）和XGBoost四种分类算法进行对比分析，使用准确率（Accuracy）、F1值、AUC值来评估模型的性能表现。

首先利用交易基础特征构建第一个分类模型。同时为了验证关联节点对于其交易实体类别是否存在影响，本文融合所有的交易基础特征和关联实体交易特征构建第二个分类模型。

仅有基础交易特征的模型结果如表4所示。

表4 基础交易特征模型结果Table 4 Results of Models with Basic Transaction Features

仅有基础特征建模结果中，虽然模型的准确率表现相对较高，但F1值整体表现较差。模型中SVM准确率最高，但AUC值表现较差。相反，集成学习算法XGBoost的AUC值表现较好，但准确率最低。整体分析可知，仅有交易基础特征的模型表现效果一般。

融合基础交易特征和关联地址特征的模型结果如表5所示。

表5 基础交易特征+关联地址特征模型结果Table 5 Results of Models with Basic Transaction Features and Associated Address Features

加入关联地址特征后，所有模型的AUC和F1值均有较大提升，说明关联地址特征有助于提升模型效果。在模型结果方面，集成学习模型XGBoost和Random Forest较其他分类模型表现更好。

最后，本文选取模型效果最好的Random Forest模型进行特征重要性评估，结果如图5所示。

图5 Random Forest 模型的特征重要性排序图Fig.5 Feature Importance Ranking Diagram of Random Forest Model

由图中可以看出，在Random Forest模型训练中，输入地址中“未知（unknown）”地址数量和输入地址中“滥用（abuse）”地址数量等关联地址特征具有重要作用。由此可以发现，常规标准的交易所或服务商较少与恐怖融资地址发生交易。相较于普通正常地址，未知实体或非法实体为了实现犯罪动机和隐匿犯罪资金，易与恐怖组织进行交易。

本文基于真实的加密数字货币交易数据，运用社会网络分析和机器学习算法，对比特币恐怖融资交易模式和异常实体进行识别。通过对真实发生的比特币恐怖融资案例进行交易追踪与溯源，发现了AQB组织恐怖融资案中的异常地址集，以及直接汇入模式、一次性地址中转模式、高风险交易所地址中转模式三种典型的资金转移模式。本研究丰富了恐怖融资领域和比特币数据分析领域的研究内容，为我国针对数字货币的恐怖融资监管提供理论支撑。

本文存在一定的局限性。尽管收集了丰富的实体标签数据，但仍有较多地址的实体标签是未知的，因此无法对比特币恐怖融资异常地址背后的资金来源和流向做出全面的探索和分析。

未来将聚焦在加密数字货币中恐怖势力融资行为的精细化识别与深度推理，积累更多交易活动和实体标签等数据集并搭建信息库，解析恐怖融资犯罪行为的活动流程角色分配与相关任务执行特征，捕捉恐怖融资组织内部不同的分工、业务目标与决策规则，最终探索一套在加密数字货币时代下服务我国反恐怖融资的监测和预警方法，为相关执法部门对加密和法定数字货币的监管提供更多参考。

作者贡献说明

颜嘉麒：提出研究思路，设计研究方案，论文修改完善；

王佳鑫：文献收集，采集、编码和分析数据，进行实验，撰写初稿；

毛谦昂：采集、清洗和分析数据；

严丹妮：文献收集，数据分析，撰写初稿。

支撑数据

支撑数据由作者自存储，E-mail:mf21140113@smail.nju.edu.cn。

1.颜嘉麒，王佳鑫，毛谦昂，严丹妮.Bitcoin Terrorist Financing Addresses.csv.比特币恐怖融资地址数据.

2.颜嘉麒，王佳鑫，毛谦昂，严丹妮.Bitcoin Addresses Labels.csv.比特币地址标签数据.

3.颜嘉麒，王佳鑫，毛谦昂，严丹妮.Bitcoin Transaction Data.csv.比特币交易数据.

猜你喜欢恐怖组织比特加密一种新型离散忆阻混沌系统及其图像加密应用湖南理工学院学报（自然科学版）(2022年1期)2022-03-16一种基于熵的混沌加密小波变换水印算法太原科技大学学报(2019年3期)2019-08-05以牙还牙环球时报(2019-04-17)2019-04-17比特币还能投资吗海峡姐妹(2017年10期)2017-12-19比特币分裂三联生活周刊(2017年33期)2017-08-11加密与解密课堂内外(小学版)(2017年5期)2017-06-07比特币一年涨135%重回5530元银行家(2017年1期)2017-02-15这是一个什么样的恐怖组织?侨园(2016年8期)2017-01-15认证加密的研究进展信息安全研究(2016年10期)2016-02-28神秘的比特币CHIP新电脑(2014年8期)2014-08-13

推荐访问:加密 实体 融资