随着互联网的飞速发展，人们的生活方式发生了翻天覆地的变化，社交生活与在线生活深度融合，但这也为个人和组织带来了多方面的安全威胁。网络攻击，旨在破坏网络或计算机，涉及数据篡改、窃取个人信息以及中断计算机网络和其他电子系统的运行，从而引发一系列问题。一次成功的攻击其影响远不止于 disruption（扰乱），更会对国家安全、经济稳定和公民福祉构成严重威胁。这导致了网络安全（Cybersecurity）的兴起，它成为几乎每个人、企业和政府保护数据隐私、推动业务发展的关键方面。网络安全是实施网络保护措施和政策的过程，以防御针对网络基础设施、服务器、程序和数据的攻击、未经授权的访问或更改。然而，恶意软件（Malware）攻击持续变得日益普遍和瞬息万变，对数字安全构成持续威胁，因为攻击者不断创造新方法来规避现有的安全措施。诸如经济损失、数据未经授权泄露和声誉损害等网络攻击，凸显了对强大网络安全政策的迫切需求。

传统的网络安全策略难以检测不断演变的新威胁，需要频繁更新，并且仅适用于短期时间依赖性预测。这些技术无法从新数据中动态学习，导致它们在应对新的攻击策略时效率低下，例如混淆恶意软件（obfuscated malware）、零日漏洞（zero-day exploits）和高级持续性威胁（advanced persistent threats）。因此，迫切需要高度弹性和灵活的检测系统，能够检测未知或伪装威胁。 consequently（因此），为了进行威胁识别和防护，传统网络安全解决方案正在向复杂的深度和机器学习（machine learning）为基础的系统发展。这些方法能够以高精度和低误报率检测已知和新的威胁与攻击，同时保证数据的可访问性、安全性和完整性。

尽管在使用各种机器学习和深度学习方法进行威胁检测方面取得了显著进展，但这些方法在面对不断演变的威胁时仍需改进，并且往往会产生大量误报，同时在实时数据分析中速度较慢。为了应对当前模型的这些局限性，本文提出了一种新的DCA-DBiLSTM（Dual-Channel Attention Deep Bidirectional Long Short-Term Memory）框架进行分析。该模型结合了用于序列建模的双向长短期记忆（Bidirectional Long Short-Term Memory, BiLSTM）和双通道注意力（Dual-Channel Attention, DCA）机制，以解决有限上下文的问题。由于其双向特性，BiLSTM可以捕获序列数据中的长期依赖性，而DCA可以通过关注通道和空间相关性来增强特征提取，从而提高恶意软件检测和风险管理的整体性能。

本研究的主要贡献包括：提出了一个集成BiLSTM层和DCA层的新DCA-DBiLSTM模型，用于恶意软件检测。双向LSTM通过结合过去和未来的上下文信息，从输入数据中提取复杂特征。DCA机制改进了特征选择过程，有助于降低误报率。因此，这种集成使模型能够高效地识别恶意软件。提出了一个全面的恶意软件分类和风险缓解框架，该框架包含两个阶段：恶意软件检测和风险缓解。该阶段确定了恶意软件的影响级别，并能够在早期阶段减轻威胁的影响。该方法提供了一种预防性策略，是对网络安全领域的重要贡献。通过不同实验评估了模型，并借助两个真实世界数据集（CICAndMal2017和Android恶意软件检测）证明了其在不同类型恶意软件数据集上的适用性。结果证明，所提出的模型能够有效识别和预防多种类型的恶意软件攻击。它还能够处理大型数据集，这在实际应用中非常有用。

该论文发表在《CMES - Computer Modeling in Engineering and Sciences》期刊上。

为了开展这项研究，研究人员主要采用了以下几个关键技术方法：首先，从公开来源收集了两个高质量数据集（CICAndMal2017和Android Malware Detection dataset）用于模型训练和评估。其次，对数据进行了预处理，包括数据清洗（清除错误和重复数据）、数据过滤（移除不相关或低质量数据及异常值）、数据归一化（将特征缩放至共同尺度，如使用min-max归一化将特征y转换为y′）以及特征转换（例如对分类特征进行独热编码）。核心模型DCA-DBiLSTM结合了双向长短期记忆网络（BiLSTM）和双通道注意力机制（DCA）。BiLSTM通过前向和后向LSTM处理序列数据，捕获长期依赖关系。DCA则包含通道注意力模块（CAM）和空间注意力模块（SAM），分别学习特征通道的权重和空间区域的重要性，以增强关键特征并抑制不重要的信息。模型使用Adam优化器（学习率0.001）、交叉熵损失函数、ReLU激活函数等参数进行训练。最后，在检测到恶意软件后，进入风险缓解阶段，包括对威胁进行分类、评估其严重性和潜在影响，并执行相应的缓解策略（如技术控制和事件响应计划）。实验在Google Colab Pro平台（Tesla T4 GPU, 25GB RAM）上使用Python（TensorFlow和Keras库）实现。

3.3. Malware Detection Using a Novel Dual Channel Attention Deep Bidirectional Long Short Term Memory (DCA-DBiLSTM) Model

研究人员开发了DCA-DBiLSTM模型，该模型集成了BiLSTM框架和DCA机制的潜力，以准确检测每天不断演变的恶意软件。双通道注意力机制提高了模型专注于输入数据中最approprdata（适当）特征的能力，从而降低了误报率。BiLSTM框架以前向和后向处理数据，有助于捕获过去和未来事件之间存在的一些重要关系，这对于改进恶意软件行为模型很有价值。该模型可以处理数据序列，并且可扩展到大型数据集，因为它对不同数据集的 variability（可变性）是不变的。

3.3.1. DCA-DBiLSTM Model

BiLSTM框架以前向和后向处理数据。它还有助于捕获从先前和后续场景中最重要的依赖性，这对于模型了解恶意软件的行为很有价值。它使模型比初始模型更好地理解恶意软件活动的动态。前向LSTM从开始到结束处理输入序列，捕获数据中的时间依赖性和细微差别，从而学会识别基于软件行为派生的特征顺序排列的恶意软件模式。遗忘门决定从先前的细胞状态中丢弃哪些信息。输入门管理新数据添加到细胞状态。细胞状态更新首先生成一个候选细胞状态。输出门决定当前时间步的输出。后向LSTM以反向处理输入序列，即从结束到开始。这使得模型能够获得额外的上下文，从而改进模型的理解。它还允许DB-LSTM理解未来的操作如何通知过去行为的阐释，这对于精确识别恶意软件是必要的。来自前向和后向LSTM的输出被合并，这使得模型能够从两个方向获取细节。这种全面的输出改善了模型对输入数据的掌握，从而增强了其识别恶意活动细微迹象的能力。

3.3.2. Dual Channel Attention Mechanism

空间注意力模块（SAM）和通道注意力模块（CAM）的融合提高了计算效率，并显著增强了模型在识别恶意软件方面的性能。DCA机制通过针对特征空间的有针对性关注，最小化了处理数据的维度，使模型能够专注于最具信息量的特征。在网络安全任务中，这种自适应特征细化至关重要，因为恶意软件的特定特征可能比其他特征更相关。这些注意力机制的结合使用导致了一个更强大和通用的模型，可以在检测不同类型的恶意软件方面实现优异的性能。此外，全局和局部特征聚合技术，如最大池化（max pooling）和平均池化（average pooling），有助于保留高级和细粒度的细节。使用多样化和不断发展的恶意软件数据集训练模型，可以很好地推广到未见的威胁。此外，正则化技术（如dropout和批量归一化（batch normalization））可防止模型过度依赖主导特征，确保其对恶意软件行为中新的细微变化保持敏感。

通道注意力模块（CAM）通过学习基于每个通道对分类过程贡献的权重，来突出不同特征通道的 compliance（遵从性）。这种优先级排序使网络能够专注于在区分恶意和良性应用程序中最重要的特征。为了计算通道注意力图，CAM通过整合来自特征图G的全局信息来工作。然后，输出注意力图N_F乘以输入特征图G。这种乘法抑制了较不重要的通道特征并增强了重要的特征。

空间注意力模块（SAM）对于提高深度学习模型的有效性非常重要，特别是在恶意软件识别任务中，其中 localized characteristics（局部特征）对于识别恶意模式至关重要。CAM有效地挑选并强调不同通道上的关键特征，而SAM则专注于输入数据的特定空间区域，例如行为模式或应用程序的特征。SAM通过创建空间注意力图来评估特征图内不同区域的重要性。这使得模型能够强调最重要的部分，从而促进准确的恶意软件区分。这种空间细化使网络对局部模式更加敏感，这在应用程序行为或代码结构中的微小变化指示恶意活动时尤其关键。然而，当尝试从CAM增强的特征图中提取空间信息时，SAM使用平均最大池化和普通平均池化。此过程为特征图中的每个位置生成空间注意力分数，以指示哪个区域对检测任务更重要。一旦建立了空间注意力图，它就用于修改特征图，强调更重要的区域，同时减少信息较少区域的影响。这种对空间关系的集中关注确保模型捕获输入数据中 otherwise（否则）可能被忽略的细微细节。例如，它使检测系统能够专注于指示潜在威胁的特定应用程序行为或特征。因此，这导致 enhanced representation of features（增强的特征表示）和 increased accuracy in classification（提高的分类准确性），使模型能够更有效地区分良性应用程序和不同类型的恶意软件。

最终分类：然后将聚合结果与softmax激活函数一起输入到密集层中进行分类。

3.4. Risk Mitigation Phase

网络安全中的风险缓解阶段包括在检测和评估后系统地减轻可能的威胁和漏洞。风险缓解首先根据可能性和影响对风险进行优先级排序，然后执行物理安全改进、技术控制（如防火墙、加密和访问控制）以及管理策略（如安全措施和员工培训）的组合。为了在发生安全漏洞时减少损害，必须持续监控系统是否存在异常情况并计划有效的事件响应。在恶意软件识别的背景下，风险缓解步骤是在模型评估和可能检测到恶意软件威胁之后的关键步骤。为了保护计算机和网络免受漏洞侵害，它专注于从模型预测中获得的见解的实际应用。风险缓解阶段通常按如下方式工作：恶意软件分类和标记：在DCA-DBiLSTM的训练和评估之后，它用于对数据集中的恶意软件进行分类和检测。当模型处理测试数据时，它会标记样本并将其分类为恶意或良性。被分类为良性的样本被验证为安全。然而，被分类为恶意的样本会被标记，因为它们是可能的威胁。这些恶意软件输出通常按其类型分类，例如广告软件（adware）、勒索软件（ransomware）、间谍软件（spyware）等。风险评估：一旦检测到恶意软件威胁，后续步骤是评估它们对系统的可能影响。这包括评估威胁的严重性和可能的影响，其中评估恶意软件类型、其目标系统以及可能造成的损害等因素。这有助于确定哪些威胁需要立即关注，哪些可以稍后处理。

4. Experimental Results

本部分讨论了用于评估DCA-DBiLSTM方法有效性的评估指标。它还详细介绍了实验配置以及训练和评估DCA-DBiLSTM模型所需的参数设置。模型全面分析的结果也在此处呈现，以显示其效率。

4.4. Performance Analysis

本部分讨论了DCA-DBiLSTM模型的性能分析，该分析用于基于各种评估指标评估其性能。该分析有助于确定模型在精确恶意软件检测方面的有效性，从而有助于早期风险缓解。图4显示了两个混淆矩阵：（a）用于CICAndMal2017数据集和（b）用于Android恶意软件检测数据集。这些矩阵证明了模型在对数据集内几种类型的攻击进行分类方面的效率。每一行描绘了实际攻击类型，每一列描绘了预测攻击类型。正确识别的实例表示为对角线元素，不正确的预测描述为非对角线元素。图4a表明，该模型对CICAndMal2017数据集的广告软件、勒索软件、恐吓软件和SMS恶意软件类别的准确率分别达到98.89%、99.03%、99.11%和99.37%。图4b表明，该模型对Android恶意软件检测数据集的广告软件、恐吓软件、SMS恶意软件和良性类别的准确率分别达到98.59%、98.73%、98.95%和99.01%。这些高准确率显示了模型在分类网络攻击预测方面的有效性。图5a展示了DCA-DBiLSTM模型的训练和测试准确率曲线。训练准确率曲线表明，模型的准确率随着训练数据的每个周期（epoch）而增加。测试准确率也随着训练准确率 optimal（最佳地）增加。训练和测试的准确率在第10个周期左右上升，分别达到0.96和0.94。图5b展示了DCA-DBiLSTM模型的训练和测试损失曲线。随着训练的进行，损失的减少表明模型从训练数据集中有效学习以做出更好的预测。训练和测试损失在第10个周期左右下降，分别达到0.10和0.19。从图中分析可知，模型不仅从训练数据中学得很好，而且还能有效地推广到新的、未见过的数据。表4展示了使用CICAndMal2017和Android恶意软件检测数据集对DCA-DBiLSTM的性能分析，使用了各种评估指标，如准确率、精确率、召回率、F1分数和AUC-ROC。在所有指标中获得的较高值表明模型性能更好，其中模型在CICAndMal2017数据集上实现了最高性能。图6展示了针对CICAndMal2017数据集和Android恶意软件检测数据集的DCA-DBiLSTM精确率-召回率（PR）曲线。PR曲线代表了在不同阈值下实现的精确率和召回率之间的平衡，以评估分类模型在预测不同类型的网络攻击方面的有效性。精确率的高值标志着模型在正确识别每个阳性事件方面的有效性。召回率的高值表明DCA-DBiLSTM模型在检测所有正确数据方面是有效的。

4.5. Comparative Analysis

在本节中，将DCA-DBiLSTM与其他最先进的方法进行了比较，包括Fuzzy DL、DL-SkLSTM、BFLS、Meta-ICTD和DCCNN-SMO。在本节的下一部分中，我们比较了DCA-DBiLSTM和其他现有方法的不同评估指标，如图7所示。因此，目前的分析表明，所提出的DCA-DBiLSTM模型实现了A、P、R和F1分数值分别为98.96%、98.34%、98.69%和97.73%，这是所有模型中最好的。从结果来看，DCA-DBiLSTM能够以高准确率预测威胁，从而实现适当的风险管理。根据图8，给出了DCA-DBiLSTM方法与其他现有方法的AUC-ROC评估比较。该曲线显示了在不同结果范围内真阳性率（true positive rate）和假阳性率（false positive rate）之间的关系。DCA-DBiLSTM模型获得了0.985的较高AUC-ROC值，与其他现有模型（如Fuzzy DL、DL-SkLSTM、BFLS、Meta-ICTD和DCCNN-SMO）相比，这些模型实现的值分别为0.853、0.908、0.798、0.787和0.820。比较结果表明，DCA-DBiLSTM模型具有更好的性能，具有较高的真阳性率。表5显示了DCA-DBiLSTM方法与其他现有方法的计算时间分析。研究表明，DCA-DBiLSTM模型比其他方法更快，实现了2.31秒的最低计算时间。这有助于模型早期识别威胁并更有效地减轻危害。Wilcoxon符号秩检验用于比较不同机器学习模型的有效性，验证研究结果的准确性。作为一种非参数检验，它有助于对模型间的性能差异进行稳健的推断。表6的最后一行显示了Wilcoxon符号双尾秩检验的p值，该检验显示了DCA-DBiLSTM与其他模型之间统计比较的显著性水平。如果p值小于0.05，则认为研究中呈现的模型比较具有统计学意义。从表中可以注意到，DCA-DBiLSTM模型优于所有其他模型。所有 pairwise comparisons（成对比较）的p值均小于0.05，这表明性能差异不是偶然造成的。因此，统计检验证实，在本研究中，DCA-DBiLSTM模型优于其他现有模型。

4.6. Ablation Study

消融研究有助于理解每个组件在DCA-DBiLSTM整体性能中的重要性。进行这项研究是为了检查所提出模型中存在的每个元素的贡献。表7描述了所提出模型与所需模块的消融研究。在消融研究中，逐一移除提议模型中的组件，以找出它们如何影响DCA-DBiLSTM的性能。下表说明，没有预处理、特征选择和特征提取，DCA-DBiLSTM表现不佳。此外，仿真结果表明，没有这些组件，模型的准确率显著降低。然而，所提出的模型通过使用所有这些组件的实现获得了优异的准确率。消融研究表明，这些组件中的每一个对于实现更好的识别结果都是必不可少的。

本研究提出了一种使用双通道注意力深度双向长短期记忆模型进行恶意软件检测和风险缓解的新方法。该模型融合了深度学习和注意力机制的潜力，以提高检测能力。采用双向LSTM框架，该框架以前向和后向两个方向处理信息，以帮助捕获来自过去和未来状态的关键依赖性。这对于掌握恶意软件的细微行为至关重要。所使用的双通道注意力机制提高了模型专注于输入数据中最适当特征的能力，从而增强了特征选择并减少了错误识别的可能性。这种双向LSTM与DCA的集成使模型能够学习与良性和恶意应用程序相关的复杂模式，因此对不同数据集的可变性不太敏感。分析检测和评估的恶意软件后，调用风险管理，其中通过基于威胁严重性和影响的措施系统地减少可能的威胁和漏洞。为了训练模型，使用了CICAndMal2017数据集和Android恶意软件检测数据集等数据集。各种实验的结果表明，该模型表现出卓越的性能，并且在恶意软件检测和风险缓解方面有效，实现了更高的准确率、精确率、召回率和F1分数值，分别为98.96%、98.34%、98.69%和97.73%。由于该模型仅使用两个数据集，未来的范围将侧重于使用考虑所有特征的多个数据集，以更有效地加强安全机制，并提供早期响应以减轻平台独立威胁。DCA-DBiLSTM框架的未来增强可能侧重于通过结合分布式训练技术（例如联邦学习（federated learning））来提高可扩展性和适应性，以在不损害隐私的情况下跨多个设备处理数据。