YashBaviskar1/SafePhish-MaxOlps
GitHub: YashBaviskar1/SafePhish-MaxOlps
一个自主的钓鱼威胁情报平台,专注于检测和防范恶意链接钓鱼攻击。
Stars: 0 | Forks: 1
# SafePhish:多引擎 AI 钓鱼防御
SafePhish 是一个最前沿的网络钓鱼检测生态系统,它融合了深度学习、行为智能和上下文分析,以保护跨 Web 和电子邮件平台的用户。
## 是什么让 SafePhish 独一无二?
### 内容与上下文
- **基于 ML 的语义分析 (XGBoost):** 标记钓鱼意图和品牌假冒异常。
- **行为模拟:** 主动跟踪重定向链(最多 3 跳)以发现最终隐藏的 payload 目标。
- **AI 指纹:** 分析语言熵和突发性以捕获 LLM 生成的鱼叉式网络钓鱼。
### 纵深防御
- **Docker 沙盒:** 临时 Ubuntu 容器,用于静态分诊、VBA 宏探测和 JS 结构分析。
- **主风险融合:** 跨越 5 个独特子引擎的动态 0-100 加权评分引擎,实现高准确率。
- **API 优先设计:** 基于 Flask 的生态系统,为扩展程序和电子邮件客户端提供即时反馈。
### 输出与响应
- **白盒透明度:** 提取前 4 个 XGBoost 特征贡献,用于人类可读的检测推理。
- **自动 SMTP 警报:** 向安全团队发送包含威胁分数和引擎检测结果的实时 HTML 警报。
- **可视化逻辑:** 在用户点击之前检测多重定向跳转等规避技术。
## 核心检测生态系统
### 1. 30 点神经 URL 分析
我们的主要 ML 模型跨 30 个不同的特征维度分析 URL,以识别结构、技术和基于声誉的异常:
- **结构指标**:基于 IP 的 URL、极端长度、“@”符号使用、连字符域名和子域名深度。
- **技术指标**:域名注册时间、DNS 记录状态、非标准端口使用以及 HTTPS-in-domain(域名中包含 HTTPS)欺骗性命名。
- **内容完整性**:外部对象请求比率(Favicon、图像、脚本)、安全表单处理器 (SFH) 验证以及 IFrame 重定向跟踪。
- **外部情报**:与 Alexa Rank、Page Rank 和 Google Index 状态的实时集成。
### 2. 多引擎电子邮件风险融合
SafePhish 采用主“风险融合”引擎,通过结合来自 5 个专用子引擎的信号来计算统一的威胁分数 (0-100):
- **ML 内容引擎**:在大规模网络钓鱼数据集上训练的 TF-IDF + XGBoost pipeline,用于深度意图分类。
- **上下文分析引擎**:
- **品牌假冒检测**:将顶级品牌(PayPal、Microsoft、Google、Amazon 等)的提及与实际发件人域名进行交叉比对。
- **跨域链接验证**:识别发件人域名与嵌入链接的目标域名之间的不匹配。
- **意图信号提取**:使用关键词启发式方法检测高紧急性语言(例如,“账户被暂停”)和与财务/账单相关的社会工程学。
- **行为智能引擎**:
- **动态重定向追踪**:执行实时链接引爆以跟踪重定向链(最多 3 个级别),从而找到最终的着陆页。
- **规避模式检测**:标记用于隐藏恶意 payload 的自动重定向循环和混淆技术。
- **高风险 TLD 跟踪**:在重定向目标中监控一次性基础设施和可疑的顶级域名(.xyz、.top、.pw、.ru)。
- **行动意图分析**:检测强制用户操作,例如“立即验证”或“登录以更新”。
- **AI 指纹检测器**:先进的反 LLM 逻辑,利用语言熵和结构一致性来识别 AI 生成的网络钓鱼模式。
- **附件防御层**:3 层分析,包括基于 Docker 的静态分诊和 VirusTotal 动态引爆。
### 3. 反 LLM AI 指纹检测
为了应对 AI 自动化网络钓鱼的兴起,SafePhish 通过深度 NLP 指标识别 GPT/LLM 签名:
- **语言熵**:测量词汇多样性以检测重复的 AI 模式。
- **突发性缩放**:分析句子长度的变化(变异系数)。
- **语言正式度**:追踪缩写的缺失和过度正式化的“AI 声音”。
- **被动语态流行度**:检测生成模型典型的非个人化和疏远语气。
## 浏览器安全功能
### 4. 欺骗性 UI“扫描页面”引擎
直接集成到浏览器中,该引擎可识别绕过传统扫描程序的基于 UI 的攻击:
- **隐形可点击覆盖层**:突出显示用于 clickjacking 的隐藏元素。
- **伪装链接**:检测伪装为纯文本、非交互式文本的钓鱼 URL。
- **隐藏的 JS 处理程序**:标记没有标准视觉提示的交互元素。
- **实时反馈**:带有虚线边框、警告徽章和即时 toast 通知的可视化高亮。
### 5. 上下文菜单与手势智能
- **右键单击以扫描**:无需访问或单击即可立即分析任何链接、选定的文本或整个电子邮件块。
- **双击捕获**:一种快速手势系统,可直接在 Gmail 和 Outlook 中捕获和分析内容块。
- **Toast 通知系统**:用于扫描状态和即时风险警报的轻量级后台反馈。
### 6. 专用平台集成
针对世界上最受欢迎的电子邮件提供商的深度 DOM 级集成:
- **Gmail 和 Outlook**:原生提取发件人、主题、正文和附件签名。
- **Yahoo 和 Proton**:针对注重隐私和传统电子邮件环境的定向支持。
- **自动附件分诊**:后台提取附件元数据以进行零信任分析。
### 7. 神经可解释性驱动程序
我们信仰“白盒”安全。SafePhish 通过以下方式提供透明度:
- **前 4 名特征贡献**:使用 XGBoost 原生可解释性来准确展示是哪些特征(例如,“非标准端口”、“长 URL”)推动了风险得分。
- **信号日志**:为分析期间引发的每个引擎标记提供人类可读的理由。
标签:Apex, Docker沙箱, Python, 反钓鱼, 威胁情报, 开发者工具, 恶意链接检测, 无后门, 机器学习, 行为分析