透過特徵重要性分析和可解釋人工智慧增強網路釣魚檢測：CatBoost、XGBoost 和 EBM 模型的比較研究

文獻綜述

網路釣魚檢測中的特徵選擇

影響網路釣魚檢測模型效能的資料集特徵包括：

1. 基於 URL 的特徵： 這些特徵源自 URL 本身的特徵，例如 URL 長度、IP 位址的存在、HTTPS 的使用以及可疑關鍵字的存在。基於 URL 的特徵至關重要，因為它們可以快速分析，並且不依賴於網頁內容，使其適用於即時檢測。
2. 基於內容的特徵： 這些特徵涉及對網頁內容的深入分析，例如某些 HTML 標籤、JavaScript 函數和網頁結構的存在。基於內容的特徵通過分析呈現給使用者的實際內容，有助於識別模仿合法網站的網路釣魚網站。
3. 基於外部的特徵： 這些特徵依賴於第三方服務，例如 WHOIS 資訊、搜尋引擎索引和網頁排名。它們通過檢查網站的註冊詳細資訊、受歡迎程度和索引狀態，提供有關網站合法性的額外背景資訊。基於外部的特徵有助於交叉驗證網站的真實性。

特徵選擇在使用機器學習改進網路釣魚檢測方面發揮著至關重要的作用。它有助於識別最相關的特徵，在保持或提高準確性的同時降低模型複雜性和訓練時間。已經採用了各種特徵選擇技術，包括基於相關性的方法、包裝器技術和資訊增益和 TreeSHAP 等排名演算法。研究表明，特徵選擇可以顯著提高隨機森林、樸素貝葉斯和神經網路等演算法的分類準確性。然而，特徵選擇方法的有效性可能會因資料集和所選演算法而異。

雖然特徵選擇提高了效率和準確性，但重要的是要注意，某些方法在檢測零時差網路釣魚攻擊方面可能仍然存在困難。總體而言，特徵選擇對於開發高效且有效的網路釣魚檢測模型至關重要。

URL 和 HTML 特徵在網路釣魚檢測中的應用

多項研究強調了基於 URL 的特徵的重要性，例如可疑字元的存在、網域名稱年齡和 IP 位址資訊。此外，研究表明，結合 HTML 特徵（例如隱藏文字和表單操作 URL）可以進一步提高檢測準確性，從而強調了在不同資料集中實施有效網路釣魚檢測策略所需的多方面方法。此外，機器學習演算法與這些特徵集的整合顯著提高了整體檢測能力，這一點可以從以下研究結果中得到證明：當在網路釣魚檢測工作中結合使用 URL 和 HTML 特徵時，準確率超過 96%。此外，研究表明，將深度學習模型等先進技術與傳統特徵集相結合可以帶來更高的檢測率，這強調了網路釣魚防範方法需要不斷創新，才能在數字領域中領先於不斷發展的威脅。這表明，隨著網路釣魚技術變得越來越複雜，在特徵分析中應用成熟技術和新興技術對於構建針對此類攻擊的彈性防禦至關重要。此外，使用機器學習演算法和全面特徵集的組合的有效性反映了有效打擊網路釣魚所需策略的不斷演變，因為最近的研究表明，利用 URL 和 HTML 特徵可以顯著提高檢測效能和可靠性，使其成為強大的網路釣魚緩解系統的關鍵組成部分。

特徵重要性總結

特徵重要性分析雖然可以深入了解導致網路釣魚檢測的因素，但必須認識到其局限性和潛在缺點。僅依靠特徵重要性作為模型評估和部署的主要指標可能會導致對模型效能的過於簡化的理解，從而可能忽視其他關鍵方面，例如穩健性、泛化能力和適應性。

從本質上講，特徵重要性提供了模型決策過程的靜態快照，無法捕捉到網路釣魚攻擊的動態和上下文相關性。網路釣魚策略在不斷發展，今天被認為是有影響力的特徵在未來可能會過時，甚至可能產生不利影響。過分強調特徵重要性可能會導致開發出脆弱的模型，這些模型難以適應新出現的威脅模式，從而損害其在現實部署場景中的長期有效性。

此外，特徵重要性分析可能容易受到偏差的影響，尤其是在網路釣魚檢測中常見的複雜、高維資料集中。由於虛假相關性或模型無法捕捉潛在的因果關係，某些特徵可能看起來影響很大。這可能會導致優先考慮並非真正指示網路釣魚行為的特徵，從而可能損害模型的可靠性並導致誤報或漏報。

為了解決這些問題，必須採用更全面、更平衡的模型評估和部署方法。雖然特徵重要性仍然是一個有價值的指標，但應將其與其他效能指標（例如穩健性、泛化能力和可解釋性）結合起來考慮。通過採用多方面的評估框架，研究人員和從業者可以開發出不僅在識別已知網路釣魚威脅方面表現出色，而且在面對不斷變化的攻擊向量時也能保持其有效性的檢測系統，從而在最終使用者中建立信任和信心。

特徵重要性分析是開發有效網路釣魚檢測模型的關鍵組成部分。它可以深入了解導致準確識別網路釣魚嘗試的關鍵因素，從而能夠改進特徵集、有針對性的檢測機制和增強使用者意識。通過了解最具影響力的特徵，研究人員和安全專業人員可以專注於網路釣魚行為的相關指標，從而提高檢測系統的整體效能並減少誤報。提取和分析特徵重要性的能力是持續努力打擊日益嚴重的網路釣魚攻擊威脅的關鍵工具，它使利益相關者能夠獲得必要的知識，以開發和實施更強大、響應更快的防禦機制。此外，了解哪些特徵對網路釣魚檢測的影響最大，可以針對演算法設計和使用者教育策略進行有針對性的改進，最終營造一個資訊更靈通、更安全的線上環境。在這種情況下，理論見解和實際應用的綜合對於有效應對不斷變化的網路釣魚威脅至關重要，從而增強檢測系統的彈性和使用者意識倡議的有效性。

XAI 技術在特徵重要性分析中的應用

應用可解釋人工智慧 (XAI) 技術來增強網路安全，特別是在網路釣魚和惡意軟體檢測方面，旨在彌補基於 AI 的惡意軟體檢測系統缺乏可解釋性的問題，這種問題阻礙了它們在現實場景中的應用。流行的 XAI 方法包括 SHAP、LIME、LRP 和用於解釋基於 AI 的惡意軟體檢測系統的注意力機制。對於網路釣魚檢測，研究探索了使用可解釋增強機、玻璃盒模型和視覺化解釋。這些方法旨在提高網路安全環境中的使用者意識、信任和決策。

然而，一些研究表明，某些 XAI 方法可能會對整體系統效能產生意想不到的負面影響。在惡意軟體檢測中，基於 CNN 的模型與 LRP 相結合已顯示出對 Linux 系統的希望。總體而言，網路安全中的 XAI 既為改進防禦提供了機會，也為對抗性攻擊帶來了潛在的漏洞。

在網路釣魚檢測案例中，重要的是要識別影響網路釣魚行為的最重要特徵。利用 XAI 進行網路釣魚檢測中的特徵重要性提取的研究已顯示出可喜的成果。使用特徵選擇技術的機器學習模型在檢測網路釣魚網站方面取得了很高的準確性。已經提出了新的方法，例如用於特徵選擇的洛倫茲環帶，以增強模型的可解釋性。XAI 方法已被應用於解釋網路釣魚檢測結果，從而提高了使用者意識和信任度。研究探索了各種特徵提取和選擇技術，包括卡方、資訊增益率、PCA 和 LSA，以提高分類效能。已經開發了自動化特徵提取工具來識別網路釣魚網站的重要特徵。XAI 和特徵重要性提取方面的這些進展有助於建立更有效、更易於解釋的網路釣魚檢測系統，從而增強網路安全工作。

特徵重要性是網路釣魚檢測模型中的一個重要考慮因素，因為它可以深入了解導致準確識別網路釣魚嘗試的關鍵因素。了解最具影響力的特徵有助於開發有針對性且高效的檢測機制、完善特徵集以及增強使用者意識和教育。通過分析特徵重要性，研究人員和安全專業人員可以專注於網路釣魚行為的最相關指標，從而提高檢測系統的整體效能並減少誤報。提取和分析特徵重要性的能力是持續努力打擊日益嚴重的網路釣魚攻擊威脅的關鍵工具，它使利益相關者能夠獲得必要的知識，以開發和實施更強大、響應更快的防禦機制。

方法

解決研究問題的方法包括：

1. 從 UCI 網路釣魚網站、Kaggle 和 Mendeley Data 收集和載入資料集，這些資料集收集了不同數量的範例和特徵。收集的高品質資料集應乾淨、具有代表性、多樣化且標記良好，並具有相關且分佈良好的特徵。
2. 一些資料集在類別標籤分佈不平衡方面存在問題。理想的分佈應該是每個類別標籤佔 50%。這項工作採用 SMOTE 技術來克服這個問題。
3. 在特徵選擇過程之前，進行初始建模以恢復子集特徵的選擇。
4. 特徵選擇對於構建高效、可解釋和準確的機器學習模型至關重要。它可以降低複雜性、提高效能、防止過度擬合，並使模型更容易解釋。通過仔細選擇最相關的特徵，模型不僅變得更快、更可靠，而且更專注於資料中最重要