随着近年来的区块链安全事件频发,区块链网络安全形势愈发严峻,对有效的区块链流量测量与分析方法的需求愈发迫切。相较于比特币,以太坊对智能合约的支持使得以太坊具有更高的应用前景,以太坊流量具有更高的研究价值。对以太坊网络流量的识别和对流量中包含的行为的判断可以为以太坊网络安全监管提供有力支撑,对区块链网络安全流量测量与分析有指导意义。与比特币采用明文传输协议不同,以太坊在数据传输阶段使用私有RLPx协议对传输内容进行了加密,现有的研究人员忽视了对以太坊流量特征的挖掘,行业内缺乏一种快速、准确的以太坊流量识别方法。此外,以太坊通过TCP长连接处理传输内容,在以太坊行为数据发送前将其统一打包为RLPx帧并进行加密,导致单条以太坊流量中包含多种行为流量,现有研究中缺乏一种有效的行为流量分割方法。并且由于行为数据结构间的一致性,使得分割后的以太坊Get类行为流量间存在极高的相似性,难以实现以太坊行为流量的精细化分类。针对以上问题,本文基于以太坊“小世界”特性和行为流量Burst特性,设计实现了以太坊流量识别和以太坊行为流量分类方法,主要包括以下三点研究内容:1.针对以太坊流量存在的占比小、特征混淆的问题,提出了基于活跃节点库的以太坊流量识别方法。该方法基于以太坊特有的“小世界”特性,设计活跃节点库记录监管区域内处于活跃状态的以太坊节点信息,通过活跃节点库筛选出潜在的以太坊流量。对于潜在的以太坊流量,分别对基于UDP的节点发现过程和基于TCP的数据传输过程提取相应流量特征,借助机器学习方法实现对以太坊流量的识别,并以识别结果动态更新节点库。实验结果表明,本文提出的基于活跃节点库的以太坊流量识别方法可以在保证识别时间效率的同时达到较高的识别精度。2.针对单条以太坊流中行为流量混杂、行为流量相似性高的问题,提出基于Burst分割的以太坊行为流量分类方法。该方法通过RLPx帧头数据包定位每个行为流量的起始位置,通过行为Burst范围确定行为流量范围,实现对以太坊行为流量的分割。针对以太坊Get类行为间的相似性问题,选择将Get类行为合并,用机器学习方法进行粗分类,对粗分类结果通过行为重排序、无返回数据的Get类行为剔除和序列化逆推的方法判断Get类行为的准确类别。实验结果表明,该方法可以准确分割以太坊行为流量,并大幅提高了以太坊行为流量分类效果。3.设计并实现了区块链网络安全流量测量与分析原型系统。分别从以太坊流量识别模型构建、以太坊行为流量分割、以太坊行为流量分类、用户界面展示等方面描述了该原型系统的设计细节。以图形界面的方式展示所设计的方法在系统中的运行结果。