加密數(shù)字貨幣恐怖融資監(jiān)管：交易模式分析與異常實體識別

顏嘉麒 王佳鑫 毛謙昂 嚴(yán)丹妮

（1.南京大學(xué)信息管理學(xué)院，南京，210023；2.中國石化江蘇蘇州石油分公司，蘇州，215101）

1 引言

以區(qū)塊鏈公鏈技術(shù)為支撐的加密數(shù)字貨幣，由于其去中心化、匿名性、全球性、交易成本低等特征[1]，契合恐怖組織和犯罪分子在國際范圍內(nèi)募集和轉(zhuǎn)移資金的需求。數(shù)字貨幣恐怖融資，是指恐怖組織為了在恐怖主義活動中占有和使用資金，以加密數(shù)字貨幣支付的方式和手段，直接或間接地、非法和故意地為恐怖活動提供或籌集資金，以開展恐怖主義和危害國家的活動。

據(jù)目前國際公開的文獻資料顯示[2]，對數(shù)字貨幣恐怖融資的研究是恐怖融資分析和加密數(shù)字貨幣監(jiān)管的交叉研究。目前對于加密數(shù)字貨幣中恐怖融資的識別和監(jiān)管的研究相對較少。相較于加密數(shù)字貨幣監(jiān)管研究和傳統(tǒng)的恐怖融資分析，由于存在恐怖融資信息異構(gòu)、加密數(shù)字貨幣交易數(shù)據(jù)海量且匿名、數(shù)字貨幣恐怖融資模式復(fù)雜等問題，目前分析和識別數(shù)字貨幣恐怖融資交易行為存在較大的困難。

本文選取較大規(guī)模的比特幣恐怖融資案進行實證調(diào)查分析，通過收集恐怖融資案真實的比特幣交易數(shù)據(jù)建立交易網(wǎng)絡(luò)模型，利用社會網(wǎng)絡(luò)分析方法識別異常地址和交易模式，并使用機器學(xué)習(xí)算法判斷比特幣擁有者的實體身份，為監(jiān)測與打擊數(shù)字貨幣恐怖融資行為提供理論參考，以期能更好地推動區(qū)塊鏈上犯罪行為的分析、識別和監(jiān)管。

2 相關(guān)研究

2.1 恐怖融資與數(shù)字貨幣恐怖融資

在1999年聯(lián)合國《制止向恐怖主義提供資助的國際公約》中，恐怖融資的定義是：任何人為了將全部或部分資金用于恐怖主義活動，而以任何手段直接或間接地、非法或故意地為恐怖主義活動提供或籌集資金[3]。國外學(xué)者較早關(guān)注反恐怖融資機制的獨特內(nèi)涵和重要價值，在“911”恐怖襲擊事件發(fā)生后，國外學(xué)者對恐怖融資的資金來源、資金轉(zhuǎn)移渠道，以及反恐融資機制的內(nèi)涵、作用、發(fā)展歷程、成效等方面進行了較為全面深入的探討，主要從以下四個角度來研究恐怖融資問題。

（1）分析對比當(dāng)前恐怖融資和反恐融資戰(zhàn)略形勢。Trinkunas[4]從政治經(jīng)濟學(xué)等角度探討恐怖融資，并以此為基礎(chǔ)介紹如“基地”組織、真主黨等恐怖組織，以及東非、歐洲等地區(qū)的恐怖融資；Butt[5]和Hussain[6]等評估和研究了巴基斯坦的恐怖融資情況和反恐措施與法律；Hamin[7]和Naheem[8]分別介紹了恐怖融資和反恐怖融資在馬來西亞和科威特的現(xiàn)狀，并評估了目前在當(dāng)?shù)厮扇〉拇胧?/p>

（2）研究恐怖融資的資金來源、籌集方式、流通渠道等。在恐怖融資的資金來源方面，肖憲[9]等將其分為通過非法經(jīng)營、移民匯款、外國援助等途徑籌集資金的各種犯罪活動，如盜用善款、走私、販毒、人口販賣、搶劫等；范萬棟[10]解析了恐怖組織經(jīng)費來源及流轉(zhuǎn)途徑；Gerald[11]討論了恐怖組織如何通過滲透或操縱非贏利組織謀利。在融資方式與渠道方面，徐方[12]和方金英[13]等學(xué)者以本·拉登為案例研究對象，深入剖析了基地組織融資的方式和特征；Keatinge[14]等分析和研究社交媒體在恐怖融資中的角色，并呼吁監(jiān)管機構(gòu)關(guān)注社交媒體平臺的影響和作用。在流通渠道方面，Gabriel[15]用案例研究證實了恐怖組織利用加密數(shù)字貨幣如比特幣在暗網(wǎng)上進行融資；Whisker[16]等探討了移動貨幣交易的各類特征，以及它對反恐融資和反洗錢體系的威脅；Whyte[17]主要研究加密數(shù)字貨幣如何影響恐怖組織活動。

（3）剖析洗錢和恐怖融資、反洗錢和反恐融資之間的相互關(guān)系。國內(nèi)對此研究較多，如童文俊[18]明確了恐怖融資與洗錢犯罪在目的、行為方式、社會危害性三個方面的區(qū)別；King[19]等討論反洗錢政策與反恐融資政策兩者的相互關(guān)系。

（4）評估反恐融資辦法，并提出改進意見。Bara daran[20]等探討美國和國際社會在反恐融資方面的努力和不足，然后針對這些努力的成效運用田野調(diào)查法進行調(diào)查統(tǒng)計，最終提出改進美國金融反恐戰(zhàn)略的建議。Niclas[21]利用恐怖組織資金需求金額、被凍結(jié)或被罰資金金額、反恐融資對合法經(jīng)濟活動的影響等指標(biāo)來評估當(dāng)前國際反恐融資斗爭的有效性，剖析存在的問題并提出對策建議。

目前國內(nèi)學(xué)者對于恐怖融資的研究尚未充分深入到技術(shù)細節(jié)，研究問題比較分散，相關(guān)文獻積累較少，主要從立法、制度和政策等角度進行理論研究，而對恐怖融資技術(shù)和渠道的系統(tǒng)性研究比較欠缺。而在目前的技術(shù)背景下，加密數(shù)字貨幣已儼然成為了恐怖融資常用的金融方式和手段。加密數(shù)字貨幣具備匿名性、全球性、不可否認(rèn)、交易費用低廉、難以實時監(jiān)控等特點[22]，這與恐怖分子期望利用互聯(lián)網(wǎng)將資金工具轉(zhuǎn)移到全球范圍內(nèi)的企圖不謀而合。據(jù)Chainalysis在2021年初發(fā)布的報告[23]顯示，在非法的加密數(shù)字貨幣交易中，恐怖融資的份額已經(jīng)呈現(xiàn)出逐年增多的趨勢，恐怖組織在網(wǎng)上吸引加密數(shù)字貨幣捐贈的能力正在增強，而且融資方法也變得更加繁瑣和復(fù)雜。

恐怖融資方式在數(shù)字平臺上日趨復(fù)雜且形式多樣。Andrianova[24]指出恐怖組織可能會利用社交平臺、網(wǎng)絡(luò)游戲、移動應(yīng)用程序以及外接電子設(shè)備等工具進行加密數(shù)字貨幣恐怖融資的活動。以色列反恐研究中心在2018年[25]和2019年[26]發(fā)布的兩份報告中揭露“圣戰(zhàn)組織”的媒體部門首次使用社交媒體和加密數(shù)字貨幣進行恐怖融資活動的細節(jié)，并揭示恐怖組織正在使用包括但不限于比特幣的加密數(shù)字貨幣開展恐怖融資活動。如今對加密數(shù)字貨幣的規(guī)范和使用缺少統(tǒng)一的國際標(biāo)準(zhǔn)，因此，提倡世界各國制定一個統(tǒng)一標(biāo)準(zhǔn)以推進加密數(shù)字貨幣恐怖融資的監(jiān)管和降低其可能給國家?guī)淼陌踩L(fēng)險迫在眉睫[27]。我國盡管目前還未公開披露加密數(shù)字貨幣恐怖融資的案例，但面臨的相關(guān)風(fēng)險和威脅也在不斷加劇。

2.2 比特幣交易數(shù)據(jù)分析

比特幣是目前交易量最大、最活躍的加密數(shù)字貨幣，也是目前恐怖融資最常見的數(shù)字貨幣支付方式之一。利用分布式點對點技術(shù)，比特幣能保證交易過程不涉及任何金融機構(gòu)，實現(xiàn)付款方與收款方直接交易的功能[28]。

在比特幣網(wǎng)絡(luò)中，未花費交易輸出（Unspent Transaction Output,UTXO）是比特幣的基本交易單位[29]。圖1展示基于UTXO的比特幣交易模型。比特幣交易過程涉及輸出和輸入，輸出是指某賬戶擁有的比特幣數(shù)量，正是這種UTXO模式設(shè)計，讓區(qū)塊交易相互鏈接；輸入主要是指比特幣來源，即上一個交易的UTXO，與某賬戶擁有的比特幣數(shù)量無關(guān)。比特幣交易有如下特點：交易可進行多次輸出和輸入；交易記錄公開透明；涉及隱私信息交易時，會對隱私信息進行保護，并利用公鑰和私鑰的對應(yīng)關(guān)系，識別付款方與收款方的交易信息。

圖1 基于UTXO 的比特幣交易模型Fig.1 Bitcoin Transaction Model Based on UTXO

比特幣的一個突出特征就是匿名性，即一個用戶或?qū)嶓w可以自己生成和擁有多個錢包地址，這就使得用戶的交易記錄和行為分散在大量地址中，增加了分析、識別和監(jiān)管的難度?，F(xiàn)有研究對比特幣犯罪行為的分析主要分為以下三個方向。

（1）調(diào)查、描述與分析比特幣犯罪行為，即研究比特幣與犯罪之間的相互關(guān)系、比特幣犯罪模式及其影響，并預(yù)測其未來的發(fā)展態(tài)勢。Engle[30]等研究了以比特幣為代表的加密數(shù)字貨幣、犯罪與偽造之間的相互關(guān)系；Caporale[31]使用非線性馬爾可夫方法分析利用比特幣和其他加密數(shù)字貨幣進行網(wǎng)絡(luò)攻擊的犯罪形式和手段；Stroukal[32]等描述對利用比特幣和其他加密數(shù)字貨幣進行非法商品貿(mào)易和黑市的現(xiàn)狀，并預(yù)測其未來發(fā)展趨勢；磨惟偉[33]分析了以比特幣為代表的加密數(shù)字貨幣在國內(nèi)與國際上的犯罪類型與案件，并從信息安全、金融安全、技術(shù)創(chuàng)新和政策法規(guī)等層面對加密數(shù)字貨幣的治理與監(jiān)管提出改進和完善的建議。

（2）利用機器學(xué)習(xí)算法對比特幣犯罪行為進行建模與識別，即通過提取洗錢、欺詐等犯罪賬戶的特征，建立模型檢測區(qū)塊鏈中的犯罪行為。Vassallo[34]等提出了改進的梯度增強算法以更好地適應(yīng)比特幣動態(tài)的交易場景；Oakley[35]等利用馬爾可夫模型進行比特幣洗錢的研究，以推斷用戶與事件之間的關(guān)系；Bartoletti[36]等通過機器學(xué)習(xí)算法來識別比特幣交易數(shù)據(jù)中潛在的龐氏騙局；Sun[37]等提出比特幣區(qū)塊鏈去匿名化的新方法，即利用監(jiān)督機器學(xué)習(xí)算法來預(yù)測尚未識別的實體類型和識別疑似參與網(wǎng)絡(luò)犯罪活動的比特幣地址集群。

（3）利用社會網(wǎng)絡(luò)分析方法對比特幣犯罪行為進行建模與識別。Reid[38]等最先為加密貨幣交易分析引入了網(wǎng)絡(luò)建模的概念，提出了比特幣交易網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)的設(shè)計。Wu[39]等人提出了一種基于混合網(wǎng)絡(luò)模體的檢測方法，可以更好地表征不同混幣服務(wù)的交易模式。Ron等[40]基于實體網(wǎng)絡(luò)構(gòu)建了大額的比特幣交易子網(wǎng)絡(luò)，深入研究得出多種不同的交易模式。Battista[41]等人重點設(shè)計和介紹BitConeView可視化系統(tǒng)，該系統(tǒng)可以及時地、直觀地監(jiān)測比特幣交易網(wǎng)絡(luò)中存在的非法行為。

由此可見，相較于傳統(tǒng)的恐怖融資，比特幣恐怖融資場景具有隱蔽性更高、復(fù)雜度更高、交易實體更豐富等特點?，F(xiàn)有研究缺乏針對數(shù)字貨幣恐怖融資事件的深入分析和探討，缺少對加密數(shù)字貨幣交易中恐怖組織實體、交易事件的挖掘和復(fù)雜交易網(wǎng)絡(luò)信息的加工。因此，本文結(jié)合社會網(wǎng)絡(luò)分析方法和機器學(xué)習(xí)算法識別比特幣恐怖融資交易模式和異常實體。

3 研究設(shè)計

本文研究框架包含四個模塊：數(shù)據(jù)收集、交易網(wǎng)絡(luò)構(gòu)建、比特幣恐怖融資交易模式分析和比特幣恐怖融資異常實體識別。研究框架如圖2所示。

圖2 研究框架Fig.2 Research Framework

在數(shù)據(jù)收集與處理模塊中，首先收集恐怖組織信息、社交媒體信息、比特幣交易數(shù)據(jù)和標(biāo)簽數(shù)據(jù)，以此作為數(shù)據(jù)來源用于后續(xù)實證研究。在交易網(wǎng)絡(luò)構(gòu)建模塊中，基于廣度優(yōu)先遍歷算法對資金的來源和去向進行追溯，分析比特幣交易模型并據(jù)此設(shè)計地址-交易關(guān)系網(wǎng)絡(luò)模型。在恐怖融資交易模式分析模塊中，采用社會網(wǎng)絡(luò)分析方法對比特幣恐怖融資行為展開探索，識別資金來源和去向中的異常地址，以及關(guān)聯(lián)實體之間的交易模式。在恐怖融資異常實體識別模塊中，結(jié)合異常地址和交易模式的分析結(jié)果，提取交易基礎(chǔ)特征和交易關(guān)聯(lián)地址特征，基于機器學(xué)習(xí)算法建立地址分類模型，以識別異常實體并進一步驗證比特幣恐怖融資交易模式的特征。

3.1 數(shù)據(jù)收集

本文選擇如下三個數(shù)據(jù)集：比特幣交易、比特幣實體標(biāo)簽和比特幣恐怖融資活動數(shù)據(jù)集。比特幣交易數(shù)據(jù)集記錄比特幣網(wǎng)絡(luò)交易數(shù)據(jù)，比特幣實體標(biāo)簽與恐怖融資活動數(shù)據(jù)集主要來自相關(guān)網(wǎng)站的公開可用數(shù)據(jù)。實體標(biāo)簽數(shù)據(jù)有助于將匿名的比特幣用戶映射至現(xiàn)實世界的身份；恐怖融資活動數(shù)據(jù)由已知比特幣恐怖融資活動涉及的錢包地址組成。數(shù)據(jù)集的來源和處理方法具體如下。

（1）比特幣鏈上交易數(shù)據(jù)

所有比特幣交易都記錄在分布式公共賬本上。每個比特幣區(qū)塊包含上千筆公開交易記錄。一筆典型的比特幣交易（如表1所示）由匿名地址表示的發(fā)件人和收件人、發(fā)送比特幣數(shù)量、交易完成時間與區(qū)塊高度等詳細信息組成。

表1 典型的比特幣交易記錄Table 1 A Data Example of the Typical Bitcoin Transaction Record

本文利用比特幣官方開源錢包客戶端Bitcoin Core[42]下載對應(yīng)時間窗口中發(fā)生的比特幣交易數(shù)據(jù)，并自動同步數(shù)據(jù)。Bitcoin Core是最早、最完整的區(qū)塊鏈錢包客戶端，其具備下載與存儲完整比特幣區(qū)塊鏈數(shù)據(jù)、新建與簽名交易、P2P網(wǎng)絡(luò)廣播交易、驗證交易并打包到區(qū)塊、發(fā)送和接收比特幣等核心功能。

由于從比特幣客戶端Bitcoin Core下載的區(qū)塊鏈交易數(shù)據(jù)為結(jié)構(gòu)化二進制數(shù)據(jù)，需要進一步解析后才能存儲到數(shù)據(jù)庫中，因此使用開源工具Bitcoin-ETL[43]將原始數(shù)據(jù)解析為單獨交易。Bitcoin-ETL能夠?qū)^(qū)塊鏈數(shù)據(jù)按照區(qū)塊范圍或時間范圍解析為包含多個具體字段的JSON格式文件。本文將時間窗口限定為2009年1月4日至2022年9月30日，并將對應(yīng)區(qū)塊高度從0到756,393的區(qū)塊數(shù)據(jù)進行完整的解析，以方便后續(xù)資金追溯。

（2）比特幣標(biāo)簽數(shù)據(jù)集

從WalletExplorer.com[44]、Blockchain.info[45]、Bitinfocharts.com[46]、Ethonym.com[47]等 加密數(shù) 字貨幣信息服務(wù)網(wǎng)站獲取到比特幣公開可用地址所對應(yīng)實體的標(biāo)簽數(shù)據(jù)。標(biāo)簽數(shù)據(jù)包括但不限于交易所、賭博服務(wù)、礦池、詐騙、勒索軟件攻擊者、暗網(wǎng)市場、舊地址、高風(fēng)險交易所和其他非法服務(wù)，涵蓋不同類型的標(biāo)簽和實體。由于不同網(wǎng)站對同一錢包地址提供了不同的標(biāo)簽，本文合并文字不同但語義相同的標(biāo)簽樣本；同時保留文字與語義都不同的標(biāo)簽樣本，認(rèn)為一個地址可能涉及多種類型的犯罪活動。

交易所標(biāo)簽指允許其客戶用法定貨幣兌換比特幣的服務(wù)商實體，包括中心化交易所、去中心化交易所、KYC(Know Your Customer，即客戶身份審核)認(rèn)證要求最低的高風(fēng)險交易所等；暗網(wǎng)指代通過比特幣進行走私或非法服務(wù)交易的實體；賭博服務(wù)指代使用比特幣作為賭注的賭博游戲中的實體；礦工指多個挖礦礦工組成的實體；詐騙指假裝提供服務(wù)欺騙客戶從而竊取比特幣的實體；勒索軟件攻擊者指利用比特幣區(qū)塊鏈作為交換媒介收取贖金的實體；舊地址指已被廢棄不用的實體。

（3）比特幣恐怖融資活動數(shù)據(jù)集

本文收集到與恐怖融資相關(guān)的比特幣地址主要來源于2020年8月美國聯(lián)邦司法部發(fā)布的起訴文件[48]，該文件主要報告了迄今最大規(guī)模的基于加密數(shù)字貨幣的恐怖融資活動，即恐怖組織卡薩姆旅組織（Al-Qassam Brigades,AQB）從2019年至今的比特幣恐怖融資招募活動?；A(chǔ)數(shù)據(jù)為報告附件中列出的被查封的錢包地址。

AQB恐怖組織成立于1992年，在歐盟、美國、澳大利亞、英國等被列為恐怖組織，被指控策劃過多起恐怖襲擊，目前被聯(lián)合國安理會列為世界恐怖組織之一。AQB大型組織在2019年基于比特幣發(fā)起了多起招募融資活動，因此收集和分析此案例數(shù)據(jù)有助于挖掘當(dāng)前比特幣恐怖融資交易行為的特點。鑒于起訴文件中提供的地址交易記錄與實際比特幣網(wǎng)絡(luò)交易記錄存在差異，因此在人工刪除了當(dāng)前查詢不到交易的非法地址之后，最終篩選出115個招募錢包地址。

同時，已公開披露的比特幣恐怖融資交易案例表明恐怖組織主要通過在線社交媒體平臺（如Twitter和Telegram）發(fā)布資金招募地址和活動詳細信息，因此，為了進一步了解恐怖融資的背景信息和活動情況，本文從社交媒體的遺留內(nèi)容與存檔信息中收集恐怖融資活動相關(guān)的招募信息。

3.2 比特幣恐怖融資交易網(wǎng)絡(luò)構(gòu)建

比特幣交易使用UTXO模型來進行余額記錄，每一條交易記錄中都記錄交易的地址來源與花費，由此每一個地址都可進行交易溯源與追蹤。為了深度梳理資金交易流轉(zhuǎn)結(jié)構(gòu)和可視化呈現(xiàn)復(fù)雜的賬戶關(guān)系網(wǎng)絡(luò)，本文對收集到的恐怖組織公開招募地址進行交易來源與流向追蹤。參考以往研究[49]，本文采用廣度優(yōu)先遍歷算法（Breadth First Search,BFS）進行資金追溯。考慮到龐大的交易數(shù)據(jù)和算法復(fù)雜度，設(shè)置追溯的層數(shù)n取1、2、3。

比特幣的每筆交易都有多個輸入和輸出，且輸入和輸出之間的具體對應(yīng)關(guān)系是不明確的，所以無法直接構(gòu)建地址之間的幣流動關(guān)系。本文通過一個中間節(jié)點（交易節(jié)點）表示幣流動關(guān)系，將比特幣恐怖融資交易建模成基于賬戶-交易關(guān)系的融資網(wǎng)絡(luò)模型，實現(xiàn)實體身份和交易行為在網(wǎng)絡(luò)空間與物理空間的匹配，以更好地從社會網(wǎng)絡(luò)分析的角度探索恐怖勢力在加密數(shù)字貨幣中的交易路徑與行為模式。本文將比特幣交易數(shù)據(jù)建模為一個加權(quán)有向圖G=（V,E,W），如圖3所示。

圖3 基于賬戶-交易關(guān)系的比特幣恐怖融資網(wǎng)絡(luò)模型Fig.3 A Bitcoin Terrorist Financing Network Model Based on Account-Transaction Relationship

本文定義對象類型V為V=(Address,Transaction,Coinbase)，其中Address代表地址節(jié)點，Transaction代表普通交易節(jié)點，Coinbase代表挖礦交易節(jié)點；對象類型E表示地址之間發(fā)送和接收的交易，E=(Input,Output)，其中Input代表地址輸入指向交易，Output代表交易指向輸出地址；W表示所有有向邊權(quán)值（比特幣交易金額）的集合。表2展示了節(jié)點、有向邊及其屬性描述。

表2 節(jié)點、關(guān)系及其屬性描述Table 2 Description of Nodes,Edges,and Attributes

4 比特幣恐怖融資交易模式分析

4.1 異常地址節(jié)點分析

本文著重關(guān)注已構(gòu)建的比特幣恐怖融資網(wǎng)絡(luò)，采用節(jié)點中心性指標(biāo)進行分析，對指標(biāo)評分降序即可得出融資網(wǎng)絡(luò)中的異常節(jié)點?，F(xiàn)已發(fā)展出許多中心性指標(biāo)來識別節(jié)點的影響程度，例如度中心性、接近中心性、中介中心性和特征向量中心性等[50]，但目前缺少在比特幣交易系統(tǒng)這一特定場景中的應(yīng)用。本文針對比特幣交易網(wǎng)絡(luò)的場景，創(chuàng)新性地提出了融合局部節(jié)點信息和全局拓?fù)湫畔⒌闹行男远攘恐笜?biāo)―黑暗度（Darkness Degree,DD），其計算方式如下。

定義1：交易距離（Transaction Distance,TD）

歐氏距離只關(guān)注節(jié)點的靜態(tài)拓?fù)渚嚯x，不能有效地發(fā)現(xiàn)隱藏的動態(tài)信息。在實際的比特幣動態(tài)交易中，地址和交易節(jié)點之間的關(guān)系是有方向性的。因此，本文中節(jié)點i到節(jié)點j之間直連的交易距離是從概率中抽象出來的距離，充分考慮了交易網(wǎng)絡(luò)中節(jié)點之間的動態(tài)交互，定義為

其中，Di|j為節(jié)點i與節(jié)點j直接相連時的交易距離值，Pi|j為節(jié)點i與節(jié)點j交易的概率，Pi|j定義為

其中，ki為節(jié)點i在有向圖中的出度，aij是圖G鄰接矩陣中的元素。

定義2：實體風(fēng)險程度參數(shù)（Risk Level,RL）

相對于傳統(tǒng)的節(jié)點中心性指標(biāo)，考慮到地址節(jié)點的屬性信息，根據(jù)實體本身的交易特征將收集到的實體分為低風(fēng)險、中風(fēng)險、高風(fēng)險和嚴(yán)重風(fēng)險四個級別，以量化不同實體在地址節(jié)點背后的影響。

本文將不同地址節(jié)點的風(fēng)險級別從低到高進行編碼，定義低風(fēng)險參數(shù)Low RL=1，中風(fēng)險參數(shù)Medium RL=2，高風(fēng)險參數(shù)High RL=3，嚴(yán)重風(fēng)險參數(shù)Severe RL=4。對于未知標(biāo)簽的地址節(jié)點，將其風(fēng)險參數(shù)定義為0。

具體來說，低風(fēng)險實體包括交易所、托管錢包、商業(yè)服務(wù)商等實體；中等風(fēng)險實體包括賭博服務(wù)、挖礦等實體；高風(fēng)險實體包括高風(fēng)險交易所、暗網(wǎng)市場、勒索軟件、詐騙、濫用等實體；嚴(yán)重風(fēng)險實體包括恐怖融資、黑客攻擊等實體。

定義3：節(jié)點局部影響力（BLI）

節(jié)點i的局部影響力表示比特幣交易網(wǎng)絡(luò)的局部拓?fù)湫畔ⅲx為節(jié)點的入度除以網(wǎng)絡(luò)中節(jié)點總數(shù)，即

其中，BLI(vi)為節(jié)點i的局部影響力，d(vi)為節(jié)點的入度，n為比特幣交易網(wǎng)絡(luò)中的節(jié)點總數(shù)。

定義4：節(jié)點全局影響力（BGI）

節(jié)點i的全局影響力表示節(jié)點在整個比特幣交易網(wǎng)絡(luò)中的傳播控制能力，定義為節(jié)點對所有鄰居節(jié)點的影響力之和，即

定義5：黑暗度（Darkness Degree,DD）

節(jié)點i的Darkness Degree定義為局部影響力和全局影響力的乘積，即

本文對追溯后的三層比特幣恐怖融資網(wǎng)絡(luò)計算各地址節(jié)點的黑暗度值，選取風(fēng)險程度較高的前15個地址節(jié)點（如表3所示），并在blockchain.info、bitinfocharts.com、walletexplorer.com、ethonym.com

表3 Top15地址節(jié)點的黑暗度值Table 3 Darkness Degree Values of Top15 Address Nodes

等網(wǎng)站中匹配對應(yīng)的比特幣用戶實體和角色，驗證和追溯這些關(guān)鍵節(jié)點的交易路徑。

觀察到排名前三位的地址為起訴文件中報告的地址，其余異常地址的實體涉及各類已知或未知交易所（約56%）、高風(fēng)險交易所（約21%）、未授權(quán)的服務(wù)商（約1%）、礦工（約1%）和其他與恐怖融資相關(guān)的實體（約4%）等。

對資金來源地址的黑暗度值排序分析發(fā)現(xiàn)，地址“1NDyJtNTjmwk5xP……Mu4HDHigtobu1s”的黑暗度值較高，通過進一步追溯可知，該地址參與到AQB恐怖組織各階段的籌款活動，且交易比較分散，涉及多筆高額匯入多個募資地址的比特幣交易，該地址背后的實體為高風(fēng)險交易所，其非法地址被報告數(shù)最多，涉及詐騙、勒索、暗網(wǎng)市場及混合服務(wù)等多種分布世界各地的非法交易類型，可以看出恐怖組織獲得的捐款不僅來自標(biāo)準(zhǔn)交易所，更多地來自高風(fēng)險交易所和與恐怖融資相關(guān)實體等。在資金去向方面，地址“15LDRgdza4WrQW……S4tSCx2vwep1yo3”和“19D1i GzDr7FyAdiy……Md6ttHj1kj6WW”作為較多交易的樞紐中心，其黑暗度值都偏高，背后的實體為未經(jīng)許可的貨幣兌換服務(wù)商，參與了AQB組織的資金兌換和洗錢。通過進一步搜證發(fā)現(xiàn)，大多未經(jīng)許可的貨幣兌換服務(wù)商已將加密數(shù)字貨幣納入全球經(jīng)營和匯款業(yè)務(wù)中，因此恐怖組織會傾向利用此類不符合規(guī)定的服務(wù)商將加密數(shù)字貨幣兌換成現(xiàn)金。

4.2 關(guān)鍵交易模式分析

由于傳統(tǒng)的社區(qū)發(fā)現(xiàn)算法往往只關(guān)注網(wǎng)絡(luò)的中結(jié)構(gòu)特征，無法在大規(guī)模的比特幣交易網(wǎng)絡(luò)分析任務(wù)中得到較好結(jié)果。為了更加高效地識別交易網(wǎng)絡(luò)中的可疑群體及其交易活動，首先專注于約簡數(shù)據(jù)量龐大的比特幣恐怖融資交易網(wǎng)絡(luò)。本文將網(wǎng)絡(luò)中度數(shù)為2的節(jié)點（即無分岔節(jié)點）及其相關(guān)邊替換為連接該節(jié)點鄰居的一條邊，并重復(fù)此過程，直到所有這些無分岔節(jié)點都被刪除。這一步驟只是減少路徑的長度，但并沒有改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

一旦網(wǎng)絡(luò)中所有無分叉的節(jié)點都被刪除后，利用復(fù)雜網(wǎng)絡(luò)領(lǐng)域中社區(qū)發(fā)現(xiàn)的研究方法[51]，采用Louvain社區(qū)發(fā)現(xiàn)算法搜索簡化網(wǎng)絡(luò)中所有的最大社區(qū)和最小社區(qū)。Louvain社區(qū)發(fā)現(xiàn)算法[52]是基于模塊度的無監(jiān)督啟發(fā)式算法，該算法的優(yōu)點是平均時間復(fù)雜度低、速度快，可以在較短時間內(nèi)實現(xiàn)節(jié)點的分組和聚類，且能夠發(fā)現(xiàn)層次性的社區(qū)結(jié)構(gòu)。本文發(fā)現(xiàn)較多節(jié)點組成的社區(qū)比較少節(jié)點組成的社區(qū)更有可能存在可疑交易活動的風(fēng)險。此外，多個社區(qū)交集的角色可能是不同可疑交易活動的樞紐中心，因此對這些地址和交易應(yīng)予以優(yōu)先考慮。

本文將重疊的集群分為社區(qū)，并恢復(fù)刪除的無分岔節(jié)點，同時結(jié)合4.1 中定義的黑暗度指數(shù)，計算每個社區(qū)中節(jié)點的黑暗度值，特別關(guān)注黑暗度指數(shù)較高的節(jié)點，搜集其背后實體的標(biāo)簽和歷史交易記錄，并分析這些異常節(jié)點與社區(qū)內(nèi)、外其他節(jié)點之間的交易模式和規(guī)律。如圖4 所示，由于篇幅限制，這里僅展示基于社區(qū)發(fā)現(xiàn)的比特幣恐怖融資子網(wǎng)絡(luò)的部分，圖中的節(jié)點有地址和交易兩類，節(jié)點之間的連接有輸入交易和輸出交易兩類，圓圈部分即為識別到的可疑交易群體。

圖4 基于社區(qū)發(fā)現(xiàn)的比特幣恐怖融資子網(wǎng)絡(luò)（部分）Fig.4 A Bitcoin Terrorist Financing Subgraph Based on Community Detection

本文觀察到AQB恐怖組織主要存在以下三種比特幣交易行為模式：第一種交易模式（直接匯入模式）是將收集到的資金直接匯入交易所地址或服務(wù)商地址以進行貨幣兌換；第二種交易模式（一次性地址中轉(zhuǎn)模式）是使用臨時的中轉(zhuǎn)地址掩蓋資金實際流向，這類中轉(zhuǎn)地址一般在用戶使用一次后就被丟棄，交易較為分散，資金通過臨時地址流轉(zhuǎn)后再被匯聚到交易所或服務(wù)商以進行貨幣兌換；第三種交易模式（高風(fēng)險交易所地址中轉(zhuǎn)模式）是使用高風(fēng)險、濫用的交易所或未授權(quán)的服務(wù)商地址作為中轉(zhuǎn)地址，該模式中交易在多個交易所之間存在關(guān)聯(lián)，且表現(xiàn)出“集中轉(zhuǎn)入分散轉(zhuǎn)出”的規(guī)律，即恐怖組織為隱匿資金的流向和行蹤，將大額資金轉(zhuǎn)入交易所后被分散成小額資金，最終轉(zhuǎn)出至多個非法實體。

5 比特幣恐怖融資異常實體識別

恐怖組織創(chuàng)建并利用比特幣地址進行融資活動，地址和交易數(shù)據(jù)中會展現(xiàn)活動過程中的交易行為特征。因此，對恐怖融資地址進行識別、分類和預(yù)測具有重要的研究意義。

為了豐富地址數(shù)據(jù)集，進一步收集了發(fā)布在美國司法部官網(wǎng)、BitcoinTalk論壇[53]、BitcoinAbuse網(wǎng)站[54]上的共計310條比特幣恐怖融資地址。本文將已獲取的恐怖融資地址作為正例數(shù)據(jù)，將WalletExplorer網(wǎng)站抽取的合法的錢包地址作為負(fù)例數(shù)據(jù)。由于在以往的研究[55]中，整個比特幣交易網(wǎng)絡(luò)中非法實體占比較低。因此本文設(shè)定1：20的比例抽取數(shù)據(jù)，即每20個合法地址實例中有一個非法地址，最終共有地址數(shù)據(jù)6510條?？植廊谫Y地址標(biāo)記為1，非恐怖融資地址標(biāo)記為0。

5.1 特征選擇

（1）基礎(chǔ)交易特征

基礎(chǔ)交易特征包括交易強度特征和交易頻度特征兩個方面。交易強度特征是指與交易金額數(shù)量、余額變化大小相關(guān)的特征，同時通過平均值和方差可進一步得到新的如地址輸入比特幣總值/均值/標(biāo)準(zhǔn)差、地址輸出比特幣總值/均值/標(biāo)準(zhǔn)差、地址交易余額歷史最大值/最小值/差額等9個特征；交易頻度特征指地址交易頻率、地址活躍天數(shù)、地址生命周期、地址參與交易總數(shù)、地址輸入交易數(shù)量、地址輸出交易數(shù)量、地址輸入交易數(shù)量與輸出交易數(shù)量之比等7個特征。

（2）交易關(guān)聯(lián)地址特征

交易關(guān)聯(lián)地址特征包括關(guān)聯(lián)地址數(shù)及關(guān)聯(lián)地址標(biāo)簽統(tǒng)計等特征。由4.2節(jié)可知，恐怖組織更傾向于與非法實體或未知實體進行交易，因此重點分析地址的關(guān)聯(lián)交易節(jié)點，統(tǒng)計輸入交易和輸出交易中關(guān)聯(lián)地址的實體標(biāo)簽分布情況。對應(yīng)實體標(biāo)簽包括“濫用（abuse）”“交易所（exchange）”“礦池（pool）”“服務(wù)商（service）”“賭博服務(wù)（gambling）”“舊地址（old）”和“未知（unknown）”七種標(biāo)簽。特別地，濫用地址指包括但不限于垃圾郵件群發(fā)者組成的實體，主要數(shù)據(jù)來源于BitcoinAbuse網(wǎng)站。交易關(guān)聯(lián)特征包括輸入地址中“濫用”地址數(shù)量、輸出地址中“濫用”地址數(shù)量、輸入地址中“交易所”地址數(shù)量、輸出地址中“交易所”地址數(shù)量等14個特征。

5.2 實驗與結(jié)果

實驗采取過采樣的方法解決樣本不平衡問題。本次特征選擇采取方差過濾的方法，即刪除方差為0 的特征。在實驗過程中發(fā)現(xiàn)所有特征的方差值都大于0，因此本文保留所有的特征以覆蓋更多的特征維度和信息。最后以7:3 的比例將數(shù)據(jù)集分割為訓(xùn)練集和測試集。

本文運用邏輯回歸（Logistic Regression）、支持向量機（SVM）、隨機森林（Random Forest）和XGBoost四種分類算法進行對比分析，使用準(zhǔn)確率（Accuracy）、F1值、AUC值來評估模型的性能表現(xiàn)。

首先利用交易基礎(chǔ)特征構(gòu)建第一個分類模型。同時為了驗證關(guān)聯(lián)節(jié)點對于其交易實體類別是否存在影響，本文融合所有的交易基礎(chǔ)特征和關(guān)聯(lián)實體交易特征構(gòu)建第二個分類模型。

僅有基礎(chǔ)交易特征的模型結(jié)果如表4所示。

表4 基礎(chǔ)交易特征模型結(jié)果Table 4 Results of Models with Basic Transaction Features

僅有基礎(chǔ)特征建模結(jié)果中，雖然模型的準(zhǔn)確率表現(xiàn)相對較高，但F1值整體表現(xiàn)較差。模型中SVM準(zhǔn)確率最高，但AUC值表現(xiàn)較差。相反，集成學(xué)習(xí)算法XGBoost的AUC值表現(xiàn)較好，但準(zhǔn)確率最低。整體分析可知，僅有交易基礎(chǔ)特征的模型表現(xiàn)效果一般。

融合基礎(chǔ)交易特征和關(guān)聯(lián)地址特征的模型結(jié)果如表5所示。

表5 基礎(chǔ)交易特征+關(guān)聯(lián)地址特征模型結(jié)果Table 5 Results of Models with Basic Transaction Features and Associated Address Features

加入關(guān)聯(lián)地址特征后，所有模型的AUC和F1值均有較大提升，說明關(guān)聯(lián)地址特征有助于提升模型效果。在模型結(jié)果方面，集成學(xué)習(xí)模型XGBoost和Random Forest較其他分類模型表現(xiàn)更好。

最后，本文選取模型效果最好的Random Forest模型進行特征重要性評估，結(jié)果如圖5所示。

圖5 Random Forest 模型的特征重要性排序圖Fig.5 Feature Importance Ranking Diagram of Random Forest Model

由圖中可以看出，在Random Forest模型訓(xùn)練中，輸入地址中“未知（unknown）”地址數(shù)量和輸入地址中“濫用（abuse）”地址數(shù)量等關(guān)聯(lián)地址特征具有重要作用。由此可以發(fā)現(xiàn)，常規(guī)標(biāo)準(zhǔn)的交易所或服務(wù)商較少與恐怖融資地址發(fā)生交易。相較于普通正常地址，未知實體或非法實體為了實現(xiàn)犯罪動機和隱匿犯罪資金，易與恐怖組織進行交易。

6 總結(jié)

本文基于真實的加密數(shù)字貨幣交易數(shù)據(jù)，運用社會網(wǎng)絡(luò)分析和機器學(xué)習(xí)算法，對比特幣恐怖融資交易模式和異常實體進行識別。通過對真實發(fā)生的比特幣恐怖融資案例進行交易追蹤與溯源，發(fā)現(xiàn)了AQB組織恐怖融資案中的異常地址集，以及直接匯入模式、一次性地址中轉(zhuǎn)模式、高風(fēng)險交易所地址中轉(zhuǎn)模式三種典型的資金轉(zhuǎn)移模式。本研究豐富了恐怖融資領(lǐng)域和比特幣數(shù)據(jù)分析領(lǐng)域的研究內(nèi)容，為我國針對數(shù)字貨幣的恐怖融資監(jiān)管提供理論支撐。

本文存在一定的局限性。盡管收集了豐富的實體標(biāo)簽數(shù)據(jù)，但仍有較多地址的實體標(biāo)簽是未知的，因此無法對比特幣恐怖融資異常地址背后的資金來源和流向做出全面的探索和分析。

未來將聚焦在加密數(shù)字貨幣中恐怖勢力融資行為的精細化識別與深度推理，積累更多交易活動和實體標(biāo)簽等數(shù)據(jù)集并搭建信息庫，解析恐怖融資犯罪行為的活動流程角色分配與相關(guān)任務(wù)執(zhí)行特征，捕捉恐怖融資組織內(nèi)部不同的分工、業(yè)務(wù)目標(biāo)與決策規(guī)則，最終探索一套在加密數(shù)字貨幣時代下服務(wù)我國反恐怖融資的監(jiān)測和預(yù)警方法，為相關(guān)執(zhí)法部門對加密和法定數(shù)字貨幣的監(jiān)管提供更多參考。

作者貢獻說明

顏嘉麒：提出研究思路，設(shè)計研究方案，論文修改完善；

王佳鑫：文獻收集，采集、編碼和分析數(shù)據(jù)，進行實驗，撰寫初稿；

毛謙昂：采集、清洗和分析數(shù)據(jù)；

嚴(yán)丹妮：文獻收集，數(shù)據(jù)分析，撰寫初稿。

支撐數(shù)據(jù)

支撐數(shù)據(jù)由作者自存儲，E-mail:mf21140113@smail.nju.edu.cn。

1.顏嘉麒，王佳鑫，毛謙昂，嚴(yán)丹妮.Bitcoin Terrorist Financing Addresses.csv.比特幣恐怖融資地址數(shù)據(jù).

2.顏嘉麒，王佳鑫，毛謙昂，嚴(yán)丹妮.Bitcoin Addresses Labels.csv.比特幣地址標(biāo)簽數(shù)據(jù).

3.顏嘉麒，王佳鑫，毛謙昂，嚴(yán)丹妮.Bitcoin Transaction Data.csv.比特幣交易數(shù)據(jù).