[发明专利]恶意软件辨识装置及方法

说明书

一种恶意软件辨识装置及方法。该恶意软件辨识装置储存一训练数据集，其包含多笔网络流量数据集。各该网络流量数据集对应至多个软件类别其中之一，该多个软件类别包含多个恶意软件类别。该恶意软件辨识装置测试出一恶意软件辨识模型对该多个恶意软件类别的一子集的多个辨识率偏低，判断该子集所对应的该多个网络流量数据集的一重叠程度高，合并该子集所对应的恶意软件类别以更新软件类别，整合该子集所对应的网络流量数据集以更新训练数据集，且以更新后的该训练数据集训练该恶意软件辨识模型。该训练后的恶意软件辨识模型被布署于真实世界。

【技术领域】

本发明是关于一种恶意软件辨识装置及方法；具体而言，本发明是关于一种基于网络通信行为进行辨识且能渐进地更新恶意软件类别的恶意软件辨识装置及方法。

【背景技术】

基于网络通信行为(例如：网络流量)来辨识恶意软件的资安网通设备(例如：防火墙)为建构资安防线的第一线设备。这类资安网通设备需事先分析各种恶意软件对外的网络通信行为(例如：与远端服务器的沟通行为、网络流量)，并予以记录。之后，若资安网通设备检测出一软件有异常的网络通信行为(例如：连线至一黑名单所记载的互联网地址、进行大量的网络连线、具有一恶意软件数据库所记录的特定网络特征)，则认定该软件为恶意软件，并予以封锁。

这类资安网通设备无法取得软件的系统行为(例如：输入/输出行为、写入/读取动作、应用程序接口(Application Program Interface；API)呼叫)，因此仅能以软件的网络通信行为作为辨识软件为正常或恶意的依据。然而，网络通信行为的特征相似，且恶意软件的种类及数目会因变种、切分或重新包装而持续地增加，要正确地辨识软件为正常或恶意，甚至辨识出恶意软件的种类，极具难度。此外，若一软件以加密方式进行网络通信，这类资安网通设备会因无法取得其进阶的封包特征而无法辨识。

有鉴于此，如何基于网络通信行为辨识恶意软件的种类且适应日益增加的恶意软件的种类及数目，为本领域极需解决的课题。

【发明内容】

本发明的一个目的在于提供一恶意软件辨识装置。该恶意软件辨识装置包含一储存器及一处理器，且二者电性连接。该储存器储存一训练数据集与一测试数据集，其中，该训练数据集与该测试数据集各包含多笔网络流量数据集。各该网络流量数据集对应至多个软件类别其中之一，且该多个软件类别包含多个恶意软件类别。该处理器以该测试数据集测试出一恶意软件辨识模型对该多个恶意软件类别的一子集的多个辨识率低于一第一门槛值，判断该子集所对应的该多个网络流量数据集的一重叠程度大于一第二门槛值，基于该重叠程度大于该第二门槛值的判断结果，合并该子集所对应的该多个恶意软件类别以更新该多个软件类别，且借由整合该子集所对应的该多个网络流量数据集以更新该训练数据集。该处理器以更新后的该训练数据集训练该恶意软件辨识模型，且以训练后的该恶意软件辨识模型辨识一实际网络流量数据集以获得一实际辨识结果。

本发明的另一个目的在于提供一种恶意软件辨识方法，其是适用于一电子计算装置。该电子计算装置储存一训练数据集与一测试数据集，其中，该训练数据集与该测试数据集各包含多笔网络流量数据集。各该网络流量数据集对应至多个软件类别其中之一，其中，该多个软件类别包含多个恶意软件类别。该恶意软件识别方法包含下列步骤：(a)以该测试数据集测试出一恶意软件辨识模型对该多个恶意软件类别的一子集的多个辨识率低于一第一门槛值，(b)判断该子集所对应的该多个网络流量数据集的一重叠程度大于一第二门槛值，(c)基于该重叠程度大于该第二门槛值的判断结果，合并该子集所对应的该多个恶意软件类别以更新该多个软件类别，(d)基于该重叠程度大于该第二门槛值的判断结果，借由整合该子集所对应的该多个网络流量数据集以更新该训练数据集，(e)以一机器学习演算法及更新后的该训练数据集训练该恶意软件辨识模型，以及(f)以训练后的该恶意软件辨识模型辨识一实际网络流量数据集以获得一实际辨识结果。