文章总结： 文章介绍了如何利用大模型提升企业钓鱼邮件分析效率，通过模型初筛+人工复核的模式，将人工分析范围缩减70%，处理周期缩短83%-92%，误报漏报率从8%/5%降至3%。核心是设计明确的提示词引导模型从发件人真实性、内容风险、附件特征和网关信息多维度分析，按置信度分级处置，形成分析-反馈-迭代闭环。该方案大幅提升了安全运营效率，降低人工成本，同时保证判断一致性。 综合评分： 87 文章分类： 安全运营,AI安全,威胁情报,安全建设,网络安全

安全运营-钓鱼邮件大模型提效

原创

汤青松

青松阁主

2025年12月22日 07:32 湖南

一、背景

钓鱼邮件攻击在企业邮箱中很常见，邮件网关虽能拦截95%以上的恶意邮件，但要平衡漏报和误报，所以还有部分可疑邮件会先放行，然后再人工审计。

每天人工需要处理100封以上可疑邮件，人工分析效率低、判断易受主观影响，难应对突发攻击。所以我引入了大模型对可疑邮件分析，提升安全运营效率。

求职中，有安全岗位麻烦帮推荐，十分感谢！！

文末有简历和联系方式

二、人工SOP

引入大模型前，我们处理可疑邮件人工处理流程，虽能控漏报但繁琐效率低，具体流程如下：

钓鱼邮件

正常邮件

存疑邮件

可疑邮件收集

高/中/低优先级

邮件头+正文+附件检测

结果判定

撤回拉黑，更新拦截规则

标记误报，反馈网关优化

联系收件人核实

同步SOC平台，每周汇总成周报

平均单封分析需1~2分钟，每日100+封邮件占用0.3人/天；重复工作易疲劳，难满足快响应、准处置需求。

三、大模型SOP

梳理完人工SOP的之后，我借助大模型“邮件智能分析”，形成“模型初筛+人工复核”模式，结构化JSON输出结果，提升效率和可靠性。

3.1 工作流程

高置信度（>0.85）

中等置信度（0.6~0.85）

低置信度（<0.6）

邮件采集：从网关抓取可疑邮件

数据脱敏：删除敏感信息保障合规

模型分析：多维度研判

结构化输出：JSON格式返回结果与依据

置信度分级

自动处置/抽样抽检

人工重点复核

建议放行/随机抽检

结果回流：人工结论用于模型优化

新流程通过“模型初筛+分级复核”压缩人工介入范围，核心优势在于形成“分析-反馈-迭代”的闭环，持续提升模型判断精准度。

流程中补充的“数据脱敏”环节，避免邮件内企业敏感信息、员工个人信息泄露，符合数据安全合规要求。

3.2 信息输入

输入四类核心信息，匹配人工分析视角：

• 邮件头信息：From、Subject等基础字段；
• 脱敏正文：剔除敏感信息，保留核心内容；

3.3 标准化输出

JSON结果含“是否钓鱼”“置信度”“风险原因”等，便于人工快速复核与系统对接，示例核心信息如下：

• 附件特征：文件名、哈希等+沙箱预检测结果；

明确的判断依据大幅减少人工复核工作量，提升效率。

• 网关信息：网关评分、命中规则等参考数据。

3.4 核心逻辑

大模型分析的核心是提示词明确任务、输出格式与判断维度，引导模型给出可解释依据，是实现“置信度分级分流”的关键：

【任务】你是企业邮件安全运营工程师，需基于提供的邮件信息，判断是否为钓鱼邮件并输出结构化结果。
【分析维度】
1. 发件人真实性：核查发件人域名与企业官方域名的关联性、SPF/DKIM/DMARC记录有效性；
2. 内容风险：识别正文是否含“紧急验证”“账户冻结”等诱导性语言，链接是否为可疑域名或拼写欺骗；
3. 附件特征：结合附件类型、哈希值及沙箱检测结果，判断是否存在恶意风险；
4. 网关参考：结合邮件网关评分及规则命中情况，综合评估风险等级。
【输出要求】
1. 明确标注“是否为钓鱼邮件”及置信度（0-1之间）；
2. 列出3-5条核心风险因素或安全依据，每条需对应具体邮件信息；
3. 给出“拦截”“放行”“需人工复核”的建议动作；
4. 简要说明判断逻辑，确保可追溯。
【邮件信息】
邮件头：{此处插入脱敏后的邮件头数据}
正文内容：{此处插入脱敏后的正文文本}
附件信息：{此处插入附件特征及沙箱检测结果}
网关信息：{此处插入网关评分及规则命中情况}

按置信度分级，减少无效人工介入，具体逻辑如下：

{
  "analysis_id": "20251206_001",
  "is_phishing": true,
  "confidence": 0.92,
  "risk_factors": ["域名拼写欺骗", "强诱导话术", "可疑链接"],
  "recommended_action": "block",
  "needs_human_review": false
}

3.5 系统集成

与现有系统联动：

• 高置信度（>0.85）：多重攻击特征匹配，提示词引导模型明确列出关键证据，无需人工复核，直接给处置建议；
• 中等置信度（0.6~0.85）：仅单一/模糊特征，模型按提示词要求标注“证据不足”，需人工复核；
• 低置信度（<0.6）：无明显风险特征，模型输出“无钓鱼相关证据”结论，建议放行抽样复核。

四、效果评价

试运行了一个月，我把人工和大模型处置分别在效率、成本等维度方向做了对比。

| 指标 | 纯人工 | 大模型辅助 | 意义 | | — | — | — | — | | 日均处理量 | 100+封（全量人工逐封分析） | 100+封（模型初筛，30%人工复核） | 人工范围缩减70%，突发200+封邮件半天内可处置，应对攻击能力增强 | | 单封处理周期 | 1~5分钟（含信息提取、交叉验证） | 30秒（20秒模型+30秒复核） | 缩短83%~92%，过去0.5天的工作1小时完成，响应从“T+1”升级“T+0”，避免攻击扩散 | | 日均人工投入 | 0.5人/天 | 0.1人/天 | 成本降低67%~85%，工程师解放出来做其他工作，人效提升3倍 | | 判断一致性 | 差异率约15%（新人易漏判） | 差异率<3%（统一特征库） | 减少经验依赖，新人快速上手，团队判断水平稳定，漏报风险降低 | | 误报/漏报率 | 误报8%、漏报5% | 1月后均降至3% | 精准度反超人工，减少业务干扰，平衡安全与业务需求 | | 响应速度 | T+1（次日处置） | T+0（当天处置） | 最多延时1小时，避免潜在安全风险 |

新方案在前期要规避风险，我们会对模型结果100%人工确认；运行一段时间后高置信度结果准确率稳定99%以上，开始自动化处置，每日节省约1小时人工。

总的来说大模型辅助模式效率更高，比如凌晨自动抓取可疑邮件，20分钟内完成100+封初筛；分析的结果导入SOC平台生成待复核（30%左右），工作效率大幅度提升。

五、求职中

作者：汤青松 日期：2025年12月21日 微信：songboy8888

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：青松阁主 《安全运营-钓鱼邮件大模型提效》