网络钓鱼邮件检测是网络安全的关键方面。网络钓鱼攻击变得越来越复杂和频繁。这突显了需要强大且可解释的检测系统来保护组织和个人。虽然现有的研究主要集中在提高准确率和F1分数等性能指标上，但还需要能够确保计算效率和模型可解释性的系统，以便在资源有限的环境中应用，实现更快的威胁检测并减少误报。本研究提出了一种基于机器学习的新型网络钓鱼邮件检测系统，该系统采用了集成方法，强调计算效率和模型可解释性。研究使用了公共数据集，包括Enron邮件数据集、SpamAssassin公共语料库和Nazario网络钓鱼语料库。邮件样本经过预处理、特征工程、特征选择和分类。此外，还进行了可解释人工智能（AI）分析，使用了局部可解释模型不可知解释（LIME）和预测误差分析。该系统在不牺牲性能的情况下，将训练时间减少了95%，推理时间减少了78%。可解释AI驱动的误差分析减少了过拟合，将验证召回率（网络钓鱼）从0.9914提高到0.9924。在未见过的数据上，网络钓鱼召回率从0.9848提高到0.9867，AUC从0.9924提高到0.9934，误报率降低了12.5%。该模型在训练和验证阶段的准确率为99.86%，F1分数为99.75%，在未见过的数据上的准确率为99.75%，显示出强大的泛化能力，并优于现有的集成方法和基于Transformer的方法。这些发现证明了所提出系统在检测网络钓鱼攻击方面的有效性，同时确保了模型的可解释性和计算效率，可以为网络钓鱼邮件预警系统提供基础。

现有方法

现有方法

在[5]中，作者提出了一种基于机器学习的网络钓鱼邮件检测方法，强调使用自然语言处理进行特征工程。他们的方法使用文档-术语矩阵（DTM）和潜在狄利克雷分配（LDA）进行特征提取，结合XGBoost获得了99.95%的F1分数，证明这是最有效的模型。他们使用词形还原和词性标注等预处理技术分析了邮件正文。

系统框架

所提出的系统框架如图1所示。包含网络钓鱼邮件和合法邮件的邮件数据集首先经过解析过程，将邮件头部和正文分开进行分析。头部包含发送者信息、域名验证和IP地址等标识符，有助于区分合法邮件和网络钓鱼尝试。正文提供了网络钓鱼的迹象，如引发恐慌的表达、大量的HTML使用和欺骗性URL。

数据集来源

Enron邮件数据集[35]包含合法邮件，对于研究真实的企业通信环境非常宝贵，其中包含发送者、接收者和时间戳等元数据，提供了额外的上下文信息。从这个公共数据集（2015年5月7日版本）中随机选取了25,171封邮件用于训练和评估。

本研究使用的数据集旨在确保多样性和代表性，为评估提供全面的基础

实验结果

在本节中，我们将根据第4节讨论的实验生态系统详细展示实验结果。第5.1节讨论了使用基线参数的模型评估；第5.2节分析了特征选择后的性能；第5.3节深入探讨了超参数调整后的模型性能；第5.4节和第5.5节分别比较了训练时间和推理时间；第5.6节分析了模型的统计显著性。

局限性

本研究使用了广泛使用的公共数据集。虽然网络钓鱼邮件数据集包含截至2024年的邮件，但合法邮件样本相对较旧（大多来自2010年之前）。这代表了本研究的一个局限性，主要是因为缺乏包含更近期合法邮件的公开数据集。

此外，由于考虑了计算效率的重要性，本研究使用了两个基础学习器。

结论和未来工作

随着网络威胁的不断演变，网络钓鱼仍然是最普遍和最具破坏性的攻击方式之一，导致了大量数据泄露和财务损失。网络钓鱼策略的复杂性不断增加，迫切需要强大且可靠的检测系统。本研究提出了一种全面的网络钓鱼邮件检测方法，解决了性能、可解释性和计算效率方面的挑战。

CRediT作者贡献声明

Riyaz Ahmed：撰写——原始草稿、验证、软件、方法论、调查、形式分析、概念化。Sumesh E P：撰写——审阅与编辑、可视化、验证、监督、资源管理、项目管理、概念化。

利益冲突声明

作者声明他们没有已知的竞争性财务利益或个人关系可能影响本文报告的工作。