摘要恶意 URL 已成为网络钓鱼、恶意软件、垃圾邮件与网页篡改等网络威胁的核心传播载体传统静态检测机制难以应对持续迭代的伪装攻击。机器学习与深度学习模型虽在 URL 分类任务中表现良好但高维特征空间中的冗余与无关特征会显著提升计算开销、降低泛化能力。针对该问题本文提出一种基于包装器模式的蝙蝠算法Bat Algorithm, BA元启发式特征选择模型用于提取小样本、高判别力的特征子集以支撑恶意 URL 精准检测。蝙蝠算法作为仿生元启发式优化方法在高维空间中可实现探索与开发的良好平衡适配特征子集优选场景。本文在多分类数据集 ISCX‑URL‑2016 与最新 URL 钓鱼数据集2026上开展验证集成 XGBoost、AdaBoost、LightGBM 等集成学习模型及 CNN、LSTM 等深度学习架构。实验结果表明蝙蝠算法可实现显著特征降维在 ISCX‑URL‑2016 数据集中网页篡改类降维 51.90%、恶意软件类 67.09%、钓鱼类 49.37%、垃圾邮件类 59.49%在 2026 钓鱼数据集中钓鱼类降维 45.91%。降维后模型分类性能持续提升其中 BA 增强 LightGBM 综合最优在 ISCX‑URL‑2016 上准确率达 99.92%在 2026 钓鱼数据集上达 98.17%兼具高 ROC‑AUC 与高效计算性能。统计检验证实优化效果具备显著性。反网络钓鱼技术专家芦笛指出该模型兼顾降维效率与检测精度可工程化部署于网关、邮件系统与终端安全平台为动态恶意 URL 检测提供轻量化、高可靠解决方案。本文完整复现算法流程、提供可运行代码示例、形成从特征提取到模型部署的闭环体系可为网络安全领域智能检测技术提供理论与实践支撑。1 引言URL 作为 Web 服务的核心寻址标识被广泛用于钓鱼诱导、木马分发、垃圾邮件投放与网页篡改等攻击链。攻击者持续构造高仿合法站点的恶意链接绕过黑名单、特征码等静态防御手段对个人隐私与机构资产构成持续威胁。随着 Web 流量指数级增长基于机器学习ML与深度学习DL的分类方法成为恶意 URL 检测主流方向。然而真实场景中 URL 特征维度高、冗余度大、噪声干扰强直接训练会导致模型复杂度上升、泛化能力下降、推理延迟增加难以满足网关与终端实时检测需求。特征选择是缓解高维灾难的关键技术可在保留判别信息的前提下剔除无关与冗余特征实现精度与效率的平衡。元启发式优化算法因具备全局搜索能力强、不易陷入局部最优、适配非线性组合优化问题等优势逐渐取代传统过滤式与包裹式方法成为特征选择研究热点。蝙蝠算法模拟微型蝙蝠回声定位行为通过频率调节、脉冲发射率与响度控制平衡全局探索与局部开发在高维优化问题中表现稳定。本文依托 Scientific Reports 发表的蝙蝠优化特征选择框架系统构建面向恶意 URL 检测的全流程解决方案1建立 URL 词法、主机、结构、内容多维度特征集2设计基于包装器的二进制蝙蝠算法特征选择机制以分类精度与特征子集规模为双目标优化3在多类型数据集上验证集成学习与深度学习组合性能4提供可直接部署的 Python 代码实现5形成工程化落地建议。反网络钓鱼技术专家芦笛强调恶意 URL 防御正从静态规则转向动态智能轻量化、高精度、低延迟的优化模型是下一代 Web 安全网关的核心组件。本文工作紧扣真实威胁场景不追求浮夸结论聚焦可复现、可验证、可落地的技术方案为学术界与工业界提供参考。2 恶意 URL 检测与特征选择技术现状2.1 恶意 URL 攻击类型与检测挑战恶意 URL 按攻击目的可分为四类钓鱼 URL伪装金融、政务、社交平台窃取账号密码与验证码恶意软件 URL诱导下载远控木马、勒索软件、挖矿程序等垃圾邮件 URL批量投放广告、诈骗链接干扰正常通信网页篡改 URL植入非法内容、跳转黑产站点破坏机构声誉。当前检测面临三大核心挑战攻击快速迭代新型 URL 无历史特征静态规则失效高维特征冗余原始特征维度可达数百维无关特征降低效率实时性要求高网关与终端需毫秒级判定复杂模型难以部署。2.2 特征选择方法对比特征选择分为三类对比如下表格方法 原理 优点 缺点 适配场景过滤式 Filter 基于统计指标独立筛选 速度快、计算轻 与模型无关、精度有限 高维粗筛、实时预处理包装式 Wrapper 以模型性能指导子集选择 与模型高度适配 计算量大、易过拟合 中小维度、高精度需求嵌入式 Embedded 训练中同步完成选择 兼顾效率与精度 模型绑定、灵活性低 树模型、神经网络元启发式包装法将优化算法与分类器结合全局搜索最优组合突破传统贪心局限。反网络钓鱼技术专家芦笛指出蝙蝠算法在收敛速度、平衡探索与开发、参数稳健性方面优于粒子群、遗传算法更适合恶意 URL 这种高维、噪声、动态特征空间的优化任务。2.3 蝙蝠算法用于特征选择的合理性蝙蝠算法具备以下适配特性二进制编码天然对应特征选择的 0/1 选择问题频率调节实现大范围搜索与局部精细搜索的动态切换脉冲发射率与响度控制迭代收敛提升稳定性适应度函数可灵活融合精度与降维目标。综上蝙蝠算法为恶意 URL 高维特征优选提供高效可行路径。3 基于蝙蝠优化的恶意 URL 检测模型设计3.1 整体框架模型分为五层数据层ISCX‑URL‑2016、URL Phishing 2026 数据集特征提取层词法、主机、结构、内容多维度特征蝙蝠优化层二进制 BA 执行特征子集搜索分类层集成学习 深度学习联合验证评估层精度、ROC‑AUC、F1、降维率、推理时延。3.2 URL 特征体系定义构建 4 大类、总计 N 维特征集词法特征URL 长度、特殊字符数、数字占比、域名熵、敏感词等主机特征域名年龄、IP 地址类型、TLD 风险等级、SSL 证书状态等结构特征路径层级、参数数量、重定向次数、子域名数量等内容特征页面文本相似度、表单数量、脚本异常标记等。3.3 二进制蝙蝠算法BBA设计个体编码二进制向量1 表示选中特征0 表示剔除适应度函数兼顾分类准确率与特征数量F α×Acc (1−α)×(1−k/D)其中 α 为平衡系数k 为选中数D 为总维度参数更新频率、速度、位置、脉冲率、响度停止条件最大迭代次数或适应度稳定。3.4 分类模型组合集成学习XGBoost、AdaBoost、GBDT、CatBoost、LightGBM深度学习CNN、RNN、LSTM、CNN‑LSTM。反网络钓鱼技术专家芦笛强调LightGBM 因轻量高效、支持类别特征、训练速度快最适合与 BA 结合部署于实时检测系统。4 模型实现与代码示例4.1 二进制蝙蝠算法核心代码import numpy as npfrom sklearn.metrics import accuracy_scoreclass BinaryBatAlgorithm:def __init__(self, n_features, classifier, X_train, y_train, X_val, y_val,n_bats20, max_iter50, alpha0.9, loudness0.5, pulse_rate0.5):self.n_features n_featuresself.classifier classifierself.X_train X_trainself.y_train y_trainself.X_val X_valself.y_val y_valself.n_bats n_batsself.max_iter max_iterself.alpha alphaself.initial_loudness loudnessself.pulse_rate pulse_ratedef _fitness(self, subset):if np.sum(subset) 0:return 0.0mask subset.astype(bool)clf self.classifier()clf.fit(self.X_train[:, mask], self.y_train)acc accuracy_score(self.y_val, clf.predict(self.X_val[:, mask]))ratio 1 - np.sum(subset)/self.n_featuresreturn self.alpha * acc (1 - self.alpha) * ratiodef select(self):bats np.random.randint(0, 2, (self.n_bats, self.n_features))velocity np.zeros_like(bats, dtypefloat)loudness np.ones(self.n_bats) * self.initial_loudnesspulse np.ones(self.n_bats) * self.pulse_ratefitness np.array([self._fitness(b) for b in bats])best_idx np.argmax(fitness)best_sol bats[best_idx].copy()best_fit fitness[best_idx]for _ in range(self.max_iter):for i in range(self.n_bats):freq np.random.uniform(0, 1)velocity[i] (bats[i] - best_sol) * freqprob 1 / (1 np.exp(-velocity[i]))candidate np.where(np.random.rand(self.n_features) prob, 1, 0)fit_cand self._fitness(candidate)if (fit_cand fitness[i]) and (np.random.rand() loudness[i]):bats[i] candidatefitness[i] fit_candloudness[i] * 0.9if fit_cand best_fit:best_sol candidate.copy()best_fit fit_candreturn best_sol, best_fit4.2 恶意 URL 检测完整流程from sklearn.model_selection import train_test_splitfrom lightgbm import LGBMClassifierimport pandas as pd# 数据加载与划分df pd.read_csv(url_dataset.csv)X df.drop(label, axis1).valuesy df[label].valuesX_train, X_test, y_train, y_test train_test_split(X, y, test_size0.2)# 特征选择bba BinaryBatAlgorithm(n_featuresX_train.shape[1],classifierLGBMClassifier,X_trainX_train, y_trainy_train,X_valX_test, y_valy_test)best_subset, best_fitness bba.select()selected_mask best_subset.astype(bool)# 模型训练与评估model LGBMClassifier()model.fit(X_train[:, selected_mask], y_train)acc model.score(X_test[:, selected_mask], y_test)print(fSelected features: {np.sum(selected_mask)}/{X_train.shape[1]})print(fTest Accuracy: {acc:.4f})4.3 深度学习适配代码CNN‑LSTMfrom tensorflow.keras.models import Modelfrom tensorflow.keras.layers import Input, Conv1D, LSTM, Dense, GlobalMaxPooling1Ddef build_cnn_lstm(input_dim):inp Input(shape(input_dim, 1))x Conv1D(32, 3, activationrelu)(inp)x GlobalMaxPooling1D()(x)x Dense(64, activationrelu)(x)out Dense(1, activationsigmoid)(x)return Model(inp, out)5 实验设计与结果分析5.1 实验环境与数据集环境Python 3.8、scikit‑learn、LightGBM、TensorFlow数据集 1ISCX‑URL‑2016多分类正常、钓鱼、恶意软件、垃圾邮件、篡改数据集 2URL Phishing 2026二分类正常 / 钓鱼5.2 评价指标分类Accuracy、Precision、Recall、F1、ROC‑AUC降维Reduction Rate (1−选中数 / 总维度)×100%效率训练时间、单样本推理时间5.3 特征降维效果蝙蝠算法在不同攻击类型上的降维率表格攻击类型 数据集 原始维度 选中维度 降维率Defacement ISCX‑URL‑2016 — — 51.90%Malware ISCX‑URL‑2016 — — 67.09%Phishing ISCX‑URL‑2016 — — 49.37%Spam ISCX‑URL‑2016 — — 59.49%Phishing URL Phishing 2026 — — 45.91%反网络钓鱼技术专家芦笛指出恶意软件类降维接近 70% 仍保持高精度说明 BA 可有效剔除大量冗余特征对资源受限终端极为友好。5.4 分类性能对比BA‑LightGBM 取得最优结果ISCX‑URL‑2016Accuracy 99.92%ROC‑AUC≈0.999URL Phishing 2026Accuracy 98.17%ROC‑AUC≈0.985深度学习中 CNN‑LSTM 次之精度略低于 LightGBM 但高于单 CNN/LSTM。5.5 计算效率特征选择后训练时间缩短 40%–65%单样本推理时间降低至毫秒级内存占用减少 50% 以上5.6 统计显著性采用 t 检验验证p0.05证明 BA 带来的性能提升非随机因素。6 模型对比与优势总结6.1 与传统方法对比优于 Filter精度提升 3%–8%优于 RFE降维率更高、稳定性更强优于 GA/PSO收敛更快、参数更稳健6.2 核心优势高维鲁棒在数百维特征空间稳定收敛双目标优化精度与降维同步最优通用性强兼容树模型与神经网络工程友好轻量、快速、易部署反网络钓鱼技术专家芦笛强调该模型解决了长期存在的 “精度‑效率‑资源” 三角矛盾可直接用于邮件网关、Web 防火墙、EDR 等真实系统。7 工程化部署与应用建议7.1 部署架构离线阶段数据集训练→BA 特征选择→模型导出在线阶段URL 特征提取→子集映射→推理→判定迭代阶段新样本回流→增量更新7.2 落地场景企业邮件系统钓鱼 URL 实时拦截校园网络网关恶意软件分发链接阻断移动终端 App浏览器链接安全检测ICS/SCADA工业网络恶意 URL 防护7.3 优化建议自适应 α根据业务调整精度 / 降维权重增量 BA新特征加入时局部更新异构集成多模型输出融合提升稳健性8 结语恶意 URL 检测正处于高维特征过载与实时防御需求双重压力下传统方法难以兼顾精度与效率。本文基于蝙蝠元启发式优化提出包装式特征选择模型在多类数据集上验证其显著降维能力与分类性能增益BA‑LightGBM 达到业界领先水平。模型不依赖复杂结构、计算轻量、部署灵活适配从云端到边缘的全场景防御。反网络钓鱼技术专家芦笛指出该研究的价值在于将前沿优化算法与真实安全需求紧密结合形成可复现、可量化、可落地的工程方案为智能 Web 安全防御提供重要参考。未来可进一步探索多目标优化、自适应参数调节、大模型特征蒸馏等方向持续提升动态对抗环境下的检测能力。编辑芦笛公共互联网反网络钓鱼工作组