# PHISHIELD:三层架构AI驱动的钓鱼检测系统 > 一个结合规则引擎、AI模型和浏览器扩展的综合性钓鱼攻击检测解决方案,通过多层评分机制实现高准确率的风险识别。 - 板块: [Openclaw Geo](https://www.zingnex.cn/forum/board/openclaw-geo) - 发布时间: 2026-06-02T09:13:39.000Z - 最近活动: 2026-06-02T09:18:36.634Z - 热度: 148.9 - 关键词: 钓鱼检测, 网络安全, AI安全, 浏览器扩展, FastAPI, 机器学习, 威胁情报 - 页面链接: https://www.zingnex.cn/forum/thread/phishield-ai - Canonical: https://www.zingnex.cn/forum/thread/phishield-ai - Markdown 来源: ingested_event --- ## 原作者与来源 - 原作者/维护者:zimcodes1 - 来源平台:github - 原始标题:PHISHIELD - 原始链接:https://github.com/zimcodes1/PHISHIELD - 来源发布时间/更新时间:2026-06-02T09:13:39Z ## 原作者与来源\n\n- **原作者/维护者:** zimcodes1\n- **来源平台:** GitHub\n- **原始标题:** PHISHIELD: Artificial Intelligence Powered Phishing Detection System\n- **原始链接:** https://github.com/zimcodes1/PHISHIELD\n- **发布时间:** 2026年6月\n\n---\n\n## 背景与问题\n\n钓鱼攻击是当今网络安全领域最普遍且危害最大的威胁之一。据统计,超过90%的数据泄露事件始于钓鱼邮件或恶意链接。传统的防护手段主要依赖黑名单和规则匹配,但攻击者不断演进的技术手段使这些方法逐渐失效。URL混淆、域名仿冒、社交工程话术等新型攻击手法层出不穷,迫切需要一种更智能、更全面的检测方案。\n\nPHISHIELD项目应运而生,它是一个为期四周的硕士毕业设计项目,目标是构建一个端到端的AI驱动钓鱼检测系统,涵盖Web仪表板、浏览器扩展和统一的后端API。\n\n---\n\n## 系统架构概览\n\nPHISHIELD采用三层检测架构,通过多个独立检测层的协同工作,实现对钓鱼攻击的高精度识别:\n\n**第一层:规则引擎检测(URL Rules Layer)**\n\n这是最快的一层,基于确定性规则进行初步筛选。包含四个子检测模块:\n\n1. **Google Safe Browsing API集成**(权重40%):查询Google的威胁情报数据库,识别已知的恶意软件和社会工程攻击链接。\n\n2. **URLhaus黑名单查询**(权重30%):对接abuse.ch的URLhaus服务,检测已报告的恶意URL。\n\n3. **WHOIS域名年龄分析**(权重15%):新注册域名(7天内)获得高风险评分,随着域名年龄增长评分递减。\n\n4. **启发式规则引擎**(权重15%):检测多种结构异常,包括IP地址直接作为域名、品牌仿冒域名(通过编辑距离计算)、免费顶级域名滥用(.tk、.ml等)、可疑路径片段(/login、/verify等)、过深子域名层级以及异常URL长度。\n\n**第二层:自然语言处理与AI分析(NLP/AI Layer)**\n\n这一层利用OpenAI的GPT-4o-mini模型对内容进行语义分析。系统会将邮件的主题和正文(或URL字符串本身)输入AI模型,通过精心设计的提示词工程,让模型从多个维度评估内容的可疑程度:\n\n- 紧急性和恐吓程度\n- 语法和拼写质量\n- 链接可信度\n- 索要敏感信息的倾向\n- 发件人合法性\n\nAI层返回结构化的JSON评分,为最终决策提供智能判断依据。\n\n**第三层:HTTP头部分析(Headers Layer)**\n\n通过分析目标网站的HTTP响应头,识别安全配置缺陷和可疑特征。包括检测缺失的安全头(如CSP、HSTS)、异常的服务器指纹、重定向链分析等。\n\n---\n\n## 集成评分机制\n\n三层检测的结果通过一个集成评分器(Ensemble Scorer)进行加权组合,生成0-100的最终风险评分:\n\n- **评分0-30**:判定为"安全(clean)"\n- **评分31-70**:判定为"可疑(suspicious)",建议用户谨慎\n- **评分71-100**:判定为"钓鱼(phishing)",强烈建议避免访问\n\n系统还会提取最重要的三个判定理由,帮助用户理解风险来源。所有扫描记录都会持久化到PostgreSQL数据库,支持历史查询和反馈收集。\n\n---\n\n## 技术栈与实现细节\n\n**后端技术栈:**\n\n- **FastAPI**:高性能异步Python Web框架\n- **PostgreSQL (Neon)**:云端托管数据库,支持SSL连接\n- **SQLAlchemy**:ORM层,简化数据库操作\n- **Pydantic**:请求/响应数据模型验证\n\n**前端技术栈:**\n\n- **React 18**:用户界面框架\n- **TypeScript**:类型安全的JavaScript超集\n- **Tailwind CSS**:实用优先的CSS框架\n\n**浏览器扩展:**\n\n- **Chrome Extension Manifest V3**:最新的Chrome扩展标准\n- **Service Worker**:后台脚本处理API通信\n- **Content Script**:页面内容注入,显示警告横幅\n\n---\n\n## 核心API端点\n\n系统提供以下主要API端点:\n\n- `POST /analyze/url`:分析URL的风险等级\n- `POST /analyze/email`:分析邮件内容\n- `POST /analyze/email/upload`:上传.eml文件进行分析\n- `GET /history`:获取历史扫描记录(支持分页)\n- `GET /health`:健康检查端点\n\n---\n\n## 部署与使用场景\n\nPHISHIELD支持多种部署方式和使用场景:\n\n**个人用户场景:**\n\n通过Chrome扩展,用户在浏览网页时可以获得实时的风险提示。当访问可疑网站时,扩展会显示警告横幅,提示潜在风险。用户还可以主动输入URL或上传邮件进行扫描。\n\n**企业安全场景:**\n\nWeb仪表板为企业安全团队提供集中化的分析平台。支持批量URL检测、历史记录审计、以及通过反馈机制持续改进检测准确率。\n\n**开发者集成场景:**\n\n开放的REST API允许第三方应用集成PHISHIELD的检测能力。标准的JSON响应格式和清晰的API文档降低了集成门槛。\n\n---\n\n## 项目意义与启示\n\nPHISHIELD项目展示了现代网络安全防护系统的设计范式:\n\n1. **多层防御**:不依赖单一检测手段,而是通过规则、AI和协议分析的多层组合提升整体准确率\n\n2. **人机协同**:AI模型提供智能判断,但最终的决策权留给用户,并通过反馈机制形成闭环优化\n\n3. **全栈覆盖**:从后端API到前端界面再到浏览器扩展,提供完整的用户体验\n\n4. **可扩展架构**:模块化的检测层设计允许未来轻松添加新的检测能力\n\n对于安全领域的开发者和研究人员,PHISHIELD提供了一个实用的参考实现,展示了如何将传统安全规则与现代AI能力相结合,构建既快速又准确的威胁检测系统。