一種惡意軟件辨識裝置及方法。該惡意軟件辨識裝置儲存一訓練數據集，其包含多筆網絡流量數據集。各該網絡流量數據集對應至多個軟件類別其中之一，該多個軟件類別包含多個惡意軟件類別。該惡意軟件辨識裝置測試出一惡意軟件辨識模型對該多個惡意軟件類別的一子集的多個辨識率偏低，判斷該子集所對應的該多個網絡流量數據集的一重疊程度高，合并該子集所對應的惡意軟件類別以更新軟件類別，整合該子集所對應的網絡流量數據集以更新訓練數據集，且以更新后的該訓練數據集訓練該惡意軟件辨識模型。該訓練后的惡意軟件辨識模型被布署于真實世界。

【技術領域】

本發明是關于一種惡意軟件辨識裝置及方法；具體而言，本發明是關于一種基于網絡通信行為進行辨識且能漸進地更新惡意軟件類別的惡意軟件辨識裝置及方法。

【背景技術】

基于網絡通信行為(例如：網絡流量)來辨識惡意軟件的資安網通設備(例如：防火墻)為建構資安防線的第一線設備。這類資安網通設備需事先分析各種惡意軟件對外的網絡通信行為(例如：與遠端服務器的溝通行為、網絡流量)，并予以記錄。之后，若資安網通設備檢測出一軟件有異常的網絡通信行為(例如：連線至一黑名單所記載的互聯網地址、進行大量的網絡連線、具有一惡意軟件數據庫所記錄的特定網絡特征)，則認定該軟件為惡意軟件，并予以封鎖。

這類資安網通設備無法取得軟件的系統行為(例如：輸入/輸出行為、寫入/讀取動作、應用程序接口(Application Program Interface；API)呼叫)，因此僅能以軟件的網絡通信行為作為辨識軟件為正常或惡意的依據。然而，網絡通信行為的特征相似，且惡意軟件的種類及數目會因變種、切分或重新包裝而持續地增加，要正確地辨識軟件為正常或惡意，甚至辨識出惡意軟件的種類，極具難度。此外，若一軟件以加密方式進行網絡通信，這類資安網通設備會因無法取得其進階的封包特征而無法辨識。

有鑒于此，如何基于網絡通信行為辨識惡意軟件的種類且適應日益增加的惡意軟件的種類及數目，為本領域極需解決的課題。

【發明內容】

本發明的一個目的在于提供一惡意軟件辨識裝置。該惡意軟件辨識裝置包含一儲存器及一處理器，且二者電性連接。該儲存器儲存一訓練數據集與一測試數據集，其中，該訓練數據集與該測試數據集各包含多筆網絡流量數據集。各該網絡流量數據集對應至多個軟件類別其中之一，且該多個軟件類別包含多個惡意軟件類別。該處理器以該測試數據集測試出一惡意軟件辨識模型對該多個惡意軟件類別的一子集的多個辨識率低于一第一門檻值，判斷該子集所對應的該多個網絡流量數據集的一重疊程度大于一第二門檻值，基于該重疊程度大于該第二門檻值的判斷結果，合并該子集所對應的該多個惡意軟件類別以更新該多個軟件類別，且借由整合該子集所對應的該多個網絡流量數據集以更新該訓練數據集。該處理器以更新后的該訓練數據集訓練該惡意軟件辨識模型，且以訓練后的該惡意軟件辨識模型辨識一實際網絡流量數據集以獲得一實際辨識結果。

本發明的另一個目的在于提供一種惡意軟件辨識方法，其是適用于一電子計算裝置。該電子計算裝置儲存一訓練數據集與一測試數據集，其中，該訓練數據集與該測試數據集各包含多筆網絡流量數據集。各該網絡流量數據集對應至多個軟件類別其中之一，其中，該多個軟件類別包含多個惡意軟件類別。該惡意軟件識別方法包含下列步驟：(a)以該測試數據集測試出一惡意軟件辨識模型對該多個惡意軟件類別的一子集的多個辨識率低于一第一門檻值，(b)判斷該子集所對應的該多個網絡流量數據集的一重疊程度大于一第二門檻值，(c)基于該重疊程度大于該第二門檻值的判斷結果，合并該子集所對應的該多個惡意軟件類別以更新該多個軟件類別，(d)基于該重疊程度大于該第二門檻值的判斷結果，借由整合該子集所對應的該多個網絡流量數據集以更新該訓練數據集，(e)以一機器學習演算法及更新后的該訓練數據集訓練該惡意軟件辨識模型，以及(f)以訓練后的該惡意軟件辨識模型辨識一實際網絡流量數據集以獲得一實際辨識結果。