[논문 리뷰] BitcoinHeist: Topological Data Analysis for Ransomware Detection on the Bitcoin Blockchain
본 논문은 이질적인 비트코인 트랜잭션 그래프에서 Mapper를 이용한 위상 데이터 분석 프레임워크를 제시하여 랜섬웨어 관련 주소를 자동으로 탐지하고 새로운 랜섬웨어 계열을 예측하며, 휴리스틱 방법에 비해 정밀도와 재현율을 향상시켰다.
Proliferation of cryptocurrencies (e.g., Bitcoin) that allow pseudo-anonymous transactions, has made it easier for ransomware developers to demand ransom by encrypting sensitive user data. The recently revealed strikes of ransomware attacks have already resulted in significant economic losses and societal harm across different sectors, ranging from local governments to health care. Most modern ransomware use Bitcoin for payments. However, although Bitcoin transactions are permanently recorded and publicly available, current approaches for detecting ransomware depend only on a couple of heuristics and/or tedious information gathering steps (e.g., running ransomware to collect ransomware related Bitcoin addresses). To our knowledge, none of the previous approaches have employed advanced data analytics techniques to automatically detect ransomware related transactions and malicious Bitcoin addresses. By capitalizing on the recent advances in topological data analysis, we propose an efficient and tractable data analytics framework to automatically detect new malicious addresses in a ransomware family, given only a limited records of previous transactions. Furthermore, our proposed techniques exhibit high utility to detect the emergence of new ransomware families, that is, ransomware with no previous records of transactions. Using the existing known ransomware data sets, we show that our proposed methodology provides significant improvements in precision and recall for ransomware transaction detection, compared to existing heuristic based approaches, and can be utilized to automate ransomware detection.
연구 동기 및 목표
- 확장 가능한 데이터 기반 특징을 사용하여 랜섬웨어 결제와 연관된 비트코인 주소를 식별한다.
- 이미 알려진 랜섬웨어 계열이 시간에 따라 일관된 블록체인 동작을 보이는지 평가한다.
- 비트코인 그래프에서 서로 다른 랜섬웨어 운영자들의 행동 간 유사성을 평가한다.
- 공개되지 않은 랜섬웨어 결제의 탐지와 새로운 랜섬웨어 계열의 출현을 가능하게 한다.
제안 방법
- 비트코인 블록체인을 이질적이고 두 유형의 그래프(주소와 트랜잭션)로 모델링한다.
- 24시간 창 내에서 주소별로 시계열 그래프 특징 여섯 가지를 추출한다(유입, 이웃, 가중치, 길이, 개수, 루프).
- 과거 라벨링된 데이터를 사용하여 미래의 알려지지 않은 계열을 예측하는 두 가지 문제를 제시한다: 기존 계열 탐지와 신규 계열 예측.
- Mapper 기반 위상 데이터 분석을 적용하여 클러스터 그래프 표현을 생성하고 다중 속성 필터링(알고리즘 1)을 통해 의심스러운 주소를 식별한다.
- 특징을 표준화하고 휴리스틱 기준선(co-spending 및 transition)과 기존 클러스터링 방법(DBSCAN, 계층적, XGBoost, 랜덤 포레스트)과 비교한다.
- 데이터를 확장해서 관리하기 위한 시계열 24시간 윈도잉 접근법을 사용하여 시간적·공간적 거래 동적을 포착하고 대규모 데이터를 관리한다.
실험 결과
연구 질문
- RQ1비트코인 네트워크에서 어떤 특징이 랜섬웨어 행동을 가장 잘 탐지하는가?
- RQ2주어진 랜섬웨어 계열이 시간이 지나도 일관된 블록체인 행동을 보이는가?
- RQ3비트코인 블록체인에서 서로 다른 랜섬웨어 운영자들의 행동은 얼마나 유사한가?
- RQ4당국이나 분석 회사에 보고되지 않은 랜섬웨어 결제를 탐지할 수 있는가?
- RQ5기존 데이터에서 새로운 랜섬웨어 계열의 출현을 탐지할 수 있는가?
주요 결과
- 이 프레임워크는 휴리스틱 방법에 비해 랜섬웨어 트랜잭션 탐지의 정밀도와 재현율을 더 높게 제공한다.
- 이미 알려진 랜섬웨어 계열의 주소에 대한 비공개 결제를 탐지하고 새로운 랜섬웨어 계열의 등장을 예측할 수 있다.
- 몬트리올, 프린스턴, 파두아 소스를 합친 대규모 랜섬웨어 데이터세트에는 시간에 걸쳐 여러 차례 나타난 27개 계열의 24,486개 주소가 포함되어 있다.
- 여섯 가지 그래프 특징을 주소당 계산하여 분석하고; 상위 랜섬웨어 패턴은 비랜섬웨어 패턴과 통계적으로 다르게 나타난다(p < 2.2e-16).
- Mapper 기반 TDA는 전통적 클러스터링을 넘어 주소 클러스터 간의 숨겨진 연결을 밝혀내고 주소에 대한 표적 의심 점수(알고리즘 1)를 가능하게 한다.
- 연구는 2009–2018년 비트코인 데이터를 대상으로 매일 24시간 창을 사용하여 주소 재현성과 행동을 연구한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.