[发明专利]恶意软件辨识装置及方法

权利要求书

1.一种恶意软件辨识装置，其特征在于，包含：

一储存器，储存一训练数据集与一测试数据集，其中，该训练数据集与该测试数据集各包含多个网络流量数据集，各该网络流量数据集对应至多个软件类别其中之一，该多个软件类别包含多个恶意软件类别；以及

一处理器，电性连接至该储存器，以该测试数据集测试出一恶意软件辨识模型对该多个恶意软件类别的一子集的多个第一辨识率低于一第一门槛值，判断该子集所对应的该多个网络流量数据集的一重叠程度大于一第二门槛值，且基于该重叠程度大于该第二门槛值的判断结果，合并该子集所对应的该多个恶意软件类别以更新该多个软件类别，借由整合该子集所对应的该多个网络流量数据集以更新该训练数据集，且以更新后的该训练数据集训练该恶意软件辨识模型；

其中，该处理器还以训练后的该恶意软件辨识模型辨识一实际网络流量数据集以获得一实际辨识结果。

2.如权利要求1所述的恶意软件辨识装置，其特征在于，该子集包含一第一恶意软件类别与一第二恶意软件类别，该处理器判断该第一恶意软件类别所对应的该多个网络流量数据集与该第二恶意软件类别所对应的该多个网络流量数据集的该重叠程度大于该第二门槛值，该处理器借由以下运作整合该子集所对应的该多个网络流量数据集：保留该第一恶意软件类别所对应的该多个网络流量数据集，以及舍弃该第二恶意软件类别所对应的该多个网络流量数据集。

3.如权利要求1所述的恶意软件辨识装置，其特征在于，该子集包含一第一恶意软件类别与一第二恶意软件类别，该处理器判断该第一恶意软件类别所对应的该多个网络流量数据集与该第二恶意软件类别所对应的该多个网络流量数据集的该重叠程度大于该第二门槛值，且该处理器借由取该第一恶意软件类别所对应的该多个网络流量数据集与该第二恶意软件类别所对应的该多个网络流量数据集的一联集以整合该子集所对应的该多个网络流量数据集。

4.如权利要求1所述的恶意软件辨识装置，其特征在于，该实际辨识结果包含一特定恶意软件类别及一第二辨识率，该特定恶意软件类别为该多个恶意软件类别其中之一，该第二辨识率介于一第三门槛值及一第四门槛值之间，该处理器还借由整合该特定恶意软件类别所对应的该多个网络流量数据集与该实际网络流量数据集以更新该训练数据集，且以更新后的该训练数据集训练该恶意软件辨识模型。

5.如权利要求1所述的恶意软件辨识装置，其特征在于，该实际辨识结果包含一特定恶意软件类别及一第二辨识率，该特定恶意软件类别为该多个恶意软件类别其中之一，该第二辨识率低于一第三门槛值，该处理器还借由增加一新恶意软件类别以更新该多个软件类别，且以该实际网络流量数据集训练该恶意软件辨识模型中对应至该新恶意软件类别的一子辨识模型。

6.如权利要求1所述的恶意软件辨识装置，其特征在于，该储存器还储存各该恶意软件类别所对应的一流量行为相关报告。

7.如权利要求6所述的恶意软件辨识装置，其特征在于，该实际辨识结果包含一特定恶意软件类别，该特定恶意软件类别为该多个恶意软件类别其中之一，该处理器还根据该特定恶意软件类别从该多个流量行为相关报告中撷取一实际流量行为相关报告。

8.如权利要求6所述的恶意软件辨识装置，其特征在于，该处理器还合并该子集所对应的该多个恶意软件类别所对应的该多个流量行为相关报告。

9.如权利要求1所述的恶意软件辨识装置，其特征在于，该实际辨识结果包含一特定恶意软件类别，该处理器还封锁该实际网络流量数据集所对应的一应用程序。

10.如权利要求1所述的恶意软件辨识装置，其特征在于，该多个软件类别还包含一正常软件类别。