什么是钓鱼邮件检测

当下主流的钓鱼邮件检测已升级为AI 驱动的钓鱼邮件检测，区别于传统 “规则 + 关键词” 的被动匹配，AI 钓鱼邮件检测通过机器学习、自然语言处理（NLP）等技术，主动学习钓鱼邮件的语义逻辑、行为特征，能精准识别变种钓鱼、AI 生成钓鱼等新型钓鱼邮件，是应对当前高发钓鱼攻击的核心技术方案。

现如今钓鱼邮件攻击主要呈现出两类变化：

变化 1：钓鱼邮件越来越"逼真"

1) 攻击者更倾向于使用合法身份进行钓鱼 ，2024 年凭证窃取的钓鱼邮件相较 2023 年激增了 50%（数据来源深信服安全运营服务），从趋势来看 ，我们相信 2025 年 ，合法身份泄露导致的钓鱼问题将会越来越严重。

2) 生成式 AI 被广泛用于制作高度逼真的钓鱼邮件，攻击者通过生成式 AI 的联网检索 、深度思考功能，快速获取到受害者公司的高管信息，包括对应的岗位信息 、社会背景 、个人喜好 、甚至是对应的发文风格等，几秒内就能批量生成无语法错误 、内容个性化 、高仿企业成员的欺诈钓鱼邮件 。

变化 2：攻击载荷的投递手法越来越隐蔽，并且攻击载荷之间往往互相嵌套，导致检测引擎拿不到真正的检测对象

1) 文本投递：正文放在在图片中 、正文以图片形式放在各类文档中等

2) 链接投递：二维码/链接在各类附件中并加密 、艺术二维码+切片 、二维码在正常网页中等

3) 网页投递： 时间对抗 、验证码 、延时跳转 、白利用（云存储桶 、网盘 、officeonline等） 、CSS/JS 代码加载等

4) 附件投递：加密压缩包嵌套 、压缩密码在图片中 、多个附件干扰 、恶意附件托管在网盘等正常网页中等

技术类型	核心原理	核心优势	关键局限性
基于规则的检测技术	预设明确规则（如发件人拼写错误、敏感词汇、可疑链接等），匹配即判定钓鱼邮件	1. 规则明确；2. 检测速度快	1. 难发现零日攻击；2. 需人工更新规则；3. 漏误报率高
基于黑名单的检测技术	建立含已知恶意发件人、域名、链接的黑名单库，比对邮件信息	1. 检测效率高；2. 可通过多渠道更新库	1. 覆盖范围有限；2. 漏报新恶意源；3. 维护成本高
基于传统机器学习的检测技术	收集样本提取文本、发件人、邮件头部等特征，训练决策树 / 支持向量机 / 朴素贝叶斯等模型	1. 适应性强；2. 自动学新特征；3. 降低漏报率	1. 需大量标注数据；2. 标注耗时耗力（需专业知识）；3. 可解释性差

1.  深度语义理解与意图识别：精准解析邮件上下文，识别 “紧急转账”“账户异常” 等高度伪装诱导话术的真实意图，对抗千变万化的钓鱼话术，优于传统浅层语义分析。

2.  Agent 自主调用工具：针对文件免杀、文档加密、链接白利用等高对抗攻击，动态调度链接分析引擎、文档解析器等专用工具，深度关联挖掘邮件文本、附件（含元数据、隐写内容、嵌入脚本）及链接 / 二维码，发现传统单点检测难以捕获的隐蔽恶意载荷。

3.  多模态联合分析：通过文本 + 链接 + 附件特征深度联合建模，提升对恶意网页、HTML 附件载荷等隐蔽攻击的检测能力，实测检测率较传统方法提升 35%。

对比传统邮件网关，深信服钓鱼检测大模型能够检测传统邮件网关检测效果不好的高对抗钓鱼邮件，包括：

• 通过自然语言处理（ NLP）技术 ，能够深入理解邮件中的语义和上下文关系，识别邮件正文的语气诱导和欺诈意图
• 邮件包含二维码：包括正文（base64 、cid） 、图片二维码 、附件二维码等
• 邮件包含免杀类附件，如免杀 exe 、lnk 附件 、word 文档带 exe 、html 带 exe 、 html 表单窃取凭证等
• 邮件包含加密附件同时正文或附件提供解密密码，如中文密码 、外文密码 、邮件正文隐藏密码 、文件名隐藏密码 、图片隐藏密码 、文本文件隐藏密码 、语义密码等
• 邮件包含链接，如未知新链接 、域名白利用 、域名 IDN 伪装 、链接下载 exe 等