YashBaviskar1/SafePhish-MaxOlps

GitHub: YashBaviskar1/SafePhish-MaxOlps

一个自主的钓鱼威胁情报平台,专注于检测和防范恶意链接钓鱼攻击。

Stars: 0 | Forks: 1

# SafePhish:多引擎 AI 钓鱼防御 SafePhish 是一个最前沿的网络钓鱼检测生态系统,它融合了深度学习、行为智能和上下文分析,以保护跨 Web 和电子邮件平台的用户。 ## 是什么让 SafePhish 独一无二? ### 内容与上下文 - **基于 ML 的语义分析 (XGBoost):** 标记钓鱼意图和品牌假冒异常。 - **行为模拟:** 主动跟踪重定向链(最多 3 跳)以发现最终隐藏的 payload 目标。 - **AI 指纹:** 分析语言熵和突发性以捕获 LLM 生成的鱼叉式网络钓鱼。 ### 纵深防御 - **Docker 沙盒:** 临时 Ubuntu 容器,用于静态分诊、VBA 宏探测和 JS 结构分析。 - **主风险融合:** 跨越 5 个独特子引擎的动态 0-100 加权评分引擎,实现高准确率。 - **API 优先设计:** 基于 Flask 的生态系统,为扩展程序和电子邮件客户端提供即时反馈。 ### 输出与响应 - **白盒透明度:** 提取前 4 个 XGBoost 特征贡献,用于人类可读的检测推理。 - **自动 SMTP 警报:** 向安全团队发送包含威胁分数和引擎检测结果的实时 HTML 警报。 - **可视化逻辑:** 在用户点击之前检测多重定向跳转等规避技术。 ## 核心检测生态系统 ### 1. 30 点神经 URL 分析 我们的主要 ML 模型跨 30 个不同的特征维度分析 URL,以识别结构、技术和基于声誉的异常: - **结构指标**:基于 IP 的 URL、极端长度、“@”符号使用、连字符域名和子域名深度。 - **技术指标**:域名注册时间、DNS 记录状态、非标准端口使用以及 HTTPS-in-domain(域名中包含 HTTPS)欺骗性命名。 - **内容完整性**:外部对象请求比率(Favicon、图像、脚本)、安全表单处理器 (SFH) 验证以及 IFrame 重定向跟踪。 - **外部情报**:与 Alexa Rank、Page Rank 和 Google Index 状态的实时集成。 ### 2. 多引擎电子邮件风险融合 SafePhish 采用主“风险融合”引擎,通过结合来自 5 个专用子引擎的信号来计算统一的威胁分数 (0-100): - **ML 内容引擎**:在大规模网络钓鱼数据集上训练的 TF-IDF + XGBoost pipeline,用于深度意图分类。 - **上下文分析引擎**: - **品牌假冒检测**:将顶级品牌(PayPal、Microsoft、Google、Amazon 等)的提及与实际发件人域名进行交叉比对。 - **跨域链接验证**:识别发件人域名与嵌入链接的目标域名之间的不匹配。 - **意图信号提取**:使用关键词启发式方法检测高紧急性语言(例如,“账户被暂停”)和与财务/账单相关的社会工程学。 - **行为智能引擎**: - **动态重定向追踪**:执行实时链接引爆以跟踪重定向链(最多 3 个级别),从而找到最终的着陆页。 - **规避模式检测**:标记用于隐藏恶意 payload 的自动重定向循环和混淆技术。 - **高风险 TLD 跟踪**:在重定向目标中监控一次性基础设施和可疑的顶级域名(.xyz、.top、.pw、.ru)。 - **行动意图分析**:检测强制用户操作,例如“立即验证”或“登录以更新”。 - **AI 指纹检测器**:先进的反 LLM 逻辑,利用语言熵和结构一致性来识别 AI 生成的网络钓鱼模式。 - **附件防御层**:3 层分析,包括基于 Docker 的静态分诊和 VirusTotal 动态引爆。 ### 3. 反 LLM AI 指纹检测 为了应对 AI 自动化网络钓鱼的兴起,SafePhish 通过深度 NLP 指标识别 GPT/LLM 签名: - **语言熵**:测量词汇多样性以检测重复的 AI 模式。 - **突发性缩放**:分析句子长度的变化(变异系数)。 - **语言正式度**:追踪缩写的缺失和过度正式化的“AI 声音”。 - **被动语态流行度**:检测生成模型典型的非个人化和疏远语气。 ## 浏览器安全功能 ### 4. 欺骗性 UI“扫描页面”引擎 直接集成到浏览器中,该引擎可识别绕过传统扫描程序的基于 UI 的攻击: - **隐形可点击覆盖层**:突出显示用于 clickjacking 的隐藏元素。 - **伪装链接**:检测伪装为纯文本、非交互式文本的钓鱼 URL。 - **隐藏的 JS 处理程序**:标记没有标准视觉提示的交互元素。 - **实时反馈**:带有虚线边框、警告徽章和即时 toast 通知的可视化高亮。 ### 5. 上下文菜单与手势智能 - **右键单击以扫描**:无需访问或单击即可立即分析任何链接、选定的文本或整个电子邮件块。 - **双击捕获**:一种快速手势系统,可直接在 Gmail 和 Outlook 中捕获和分析内容块。 - **Toast 通知系统**:用于扫描状态和即时风险警报的轻量级后台反馈。 ### 6. 专用平台集成 针对世界上最受欢迎的电子邮件提供商的深度 DOM 级集成: - **Gmail 和 Outlook**:原生提取发件人、主题、正文和附件签名。 - **Yahoo 和 Proton**:针对注重隐私和传统电子邮件环境的定向支持。 - **自动附件分诊**:后台提取附件元数据以进行零信任分析。 ### 7. 神经可解释性驱动程序 我们信仰“白盒”安全。SafePhish 通过以下方式提供透明度: - **前 4 名特征贡献**:使用 XGBoost 原生可解释性来准确展示是哪些特征(例如,“非标准端口”、“长 URL”)推动了风险得分。 - **信号日志**:为分析期间引发的每个引擎标记提供人类可读的理由。
标签:Apex, Docker沙箱, Python, 反钓鱼, 威胁情报, 开发者工具, 恶意链接检测, 无后门, 机器学习, 行为分析