Detecção Inteligente de Ataques Phishing: Seleção Automática e Explicável de Modelos e Hiperparâmetros

A detecção de ataques phishing representa uma das preocupações mais críticas em segurança cibernética nos dias atuais. Com uma crescente sofisticação nas técnicas de engenharia social, os cibercriminosos têm conseguido burlar os mecanismos tradicionais de proteção, fazendo com que soluções inteligentes baseadas em aprendizado de máquina (ML) se tornem cada vez mais necessárias. Contudo, a seleção manual de algoritmos, hiperparâmetros e atributos não só é trabalhosa como propensa a vieses e à subutilização do potencial dos dados. Neste contexto, as abordagens de Aprendizado de Máquina Automatizado (AutoML) surgem como alternativas promissoras para a construção de pipelines eficientes e reprodutíveis, dispensando intervenção humana especializada (HUTTER; KOTTHOFF; VANSCHOREN, 2019). Este trabalho tem como objetivo avaliar a aplicação dos frameworks de AutoML: TPOT (OLSON et al., 2016), FLAML (WANG et al., 2021), MLJAR (PŁOŃSKI, 2020) e H2O (LEDELL; POIRIER, 2020), no contexto da detecção de sites phishing, comparando suas performances, eficiência computacional e interpretabilidade. Para além da avaliação dos frameworks, a abordagem proposta incorpora técnicas de Inteligência Artificial Explicável (XAI), como SHAP (LUNDBERG; LEE, 2017) e ELI5 (RIBEIRO; SINGH; GUESTRIN, 2016), para tornar transparentes as decisões dos modelos treinados. Para condução dos experimentos, o estudo utilizou uma base de dados balanceada, contendo 160.000 URLs, divididas entre phishing e legítimas. As características utilizadas foram extraídas exclusivamente da estrutura das URLs, como por exemplo tamanho da URL, domínio e subdomínios, totalizando 130 atributos iniciais. Para redução no volume de features, adotou-se uma técnica de seleção baseada em variância, onde o conjunto foi reduzido para os 67 atributos mais relevantes, a fim de otimizar o desempenho e reduzir o risco de sobreajuste. Entre os frameworks avaliados, o TPOT apresentou o menor tempo de predição (0,13s), embora com a menor acurácia (95,21%). O FLAML, por sua vez, demonstrou excelente equilíbrio entre desempenho (96,45% de acurácia) e eficiência computacional (0,25s). Já o MLJAR adotou uma estratégia de ensemble, alcançando resultados sólidos (96,46%), mas com alto custo computacional (63,89s). O H2O, por fim, obteve o melhor desempenho global (96,49%) com tempo intermediário de resposta (2,97s), utilizando um ensemble de modelos baseados em boosting. As análises de explicabilidade revelaram que atributos como comprimento do diretório da URL e quantidade de ocorrências de “www” possuem impacto significativo nas decisões dos modelos. Esses padrões estruturais, frequentemente utilizados em ataques phishing para mascarar domínios legítimos, foram identificados de forma recorrente entre os modelos, sugerindo consistência e robustez nas decisões automatizadas (BAHAGHIGHAT; GHASEMI; OZEN, 2023). Além da explicabilidade local e global, os modelos foram analisados quanto à correlação entre suas predições, destacando que arquiteturas baseadas em árvores de decisão apresentam maior divergência, enquanto modelos baseados em boosting (LightGBM, XGBoost, CatBoost) apresentaram alta coerência entre si. Esse comportamento reforça a confiabilidade das decisões dos ensembles gerados. Os resultados obtidos demonstram que soluções baseadas em AutoML são capazes de igualar ou superar abordagens tradicionais em termos de desempenho, ao mesmo tempo em que reduzem significativamente o esforço manual necessário para desenvolvimento, ajuste e validação dos modelos. A integração com técnicas de XAI amplia a transparência do processo de tomada de decisão, permitindo auditoria, validação e aumento da confiança por parte de usuários e especialistas. Com base nos resultados, pudemos concluir que a seleção automática e explicável de modelos e hiperparâmetros é não apenas viável, mas recomendável para sistemas inteligentes de detecção de phishing, especialmente em ambientes com grande volume de dados e necessidade de decisões rápidas e precisas Trabalhos futuros podem considerar a incorporação de fontes complementares de dados, como conteúdo HTML, imagens da página e informações WHOIS, além da integração com modelos de linguagem para enriquecimento semântico das análises.