[论文解读] Anomaly Detection in the Bitcoin System - A Network Perspective
本文提出了一种基于网络的比特币交易系统异常检测框架,结合幂律度分布、致密化幂律和局部离群点因子(LOF)与k-means聚类方法。通过检测结构偏差和极端密度离群点,识别可疑用户和交易,成功以96.5%和91.4%的中心距一致性分别检测出2012年已知的比特币盗窃事件。
The problem of anomaly detection has been studied for a long time, and many Network Analysis techniques have been proposed as solutions. Although some results appear to be quite promising, no method is clearly to be superior to the rest. In this paper, we particularly consider anomaly detection in the Bitcoin transaction network. Our goal is to detect which users and transactions are the most suspicious; in this case, anomalous behavior is a proxy for suspicious behavior. To this end, we use the laws of power degree and densification and local outlier factor (LOF) method (which is proceeded by k-means clustering method) on two graphs generated by the Bitcoin transaction network: one graph has users as nodes, and the other has transactions as nodes. We remark that the methods used here can be applied to any type of setting with an inherent graph structure, including, but not limited to, computer networks, telecommunications networks, auction networks, security networks, social networks, Web networks, or any financial networks. We use the Bitcoin transaction network in this paper due to the availability, size, and attractiveness of the data set.
研究动机与目标
- 检测比特币网络中的异常用户和交易,作为可疑或欺诈行为的代理指标。
- 应用网络分析技术——特别是幂律度分布和致密化幂律——以识别指示异常的结构偏差。
- 在无标签数据下,评估LOF和k-means聚类方法在异常检测中的一致性和可检测性。
- 证明该方法在比特币以外的其他网络化系统中的可推广性。
- 为无标签、大规模金融与交易网络提供一种异常检测框架。
提出的方法
- 使用两种图表示方法:一种以用户为节点,另一种以交易为节点,以建模比特币交易网络。
- 应用幂律度分布和致密化幂律,通过测量与预期网络增长模式的偏差,检测结构异常。
- 使用k-means聚类作为基线方法,识别聚类中心并可视化正常节点的分布。
- 使用局部离群点因子(LOF)基于局部密度检测异常,其中与k个最近邻相比密度显著较低的点被标记为离群点。
- 通过k-最近邻和局部可达性密度计算异常评分,量化与邻域密度的偏离程度。
- 使用三种评估指标验证结果:中心距比率、两种图类型之间的一致性,以及对已知盗窃事件的检测情况。
实验结果
研究问题
- RQ1幂律度分布和致密化幂律是否能有效识别比特币交易网络中的结构异常?
- RQ2在无标签数据下,LOF方法在检测已知欺诈交易方面能达到何种程度?
- RQ3在两种不同的图表示——以用户为中心和以交易为中心——中,异常检测结果的一致性如何?
- RQ4k-means聚类能否为可视化和验证基于LOF的异常检测提供可靠基线?
- RQ5所提出的方法在无标签、现实世界金融网络中的泛化能力如何?
主要发现
- LOF方法检测到一起已知的2012年比特币盗窃事件,涉及2,600 BTC通过22个地址被转移至单一目的地。
- 基于LOF的异常检测在用户图中实现了0.965的中心距比率,在交易图中实现了0.914,表明检测到的离群点始终位于聚类外围。
- 两种图类型之间的一致性度量(m_DE)为0.55,表明在用户和交易表示之间异常检测结果具有中等一致性。
- 在入度、平均入值、出度或总交易金额方面具有极端值的节点始终被标记为离群点,与基于幂律的结构异常检测结果一致。
- k-means与LOF的结合实现了对异常节点的有效可视化和验证,尤其适用于具有极端特征值的节点。
- 该方法成功识别了无标签数据中的异常模式,证明了其在金融与网络化系统中实际应用的可行性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。