保護(hù)方法與其電腦系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)一種保護(hù)方法與其電腦系統(tǒng)�����,用以解除免于惡意軟件于終端裝置的攻擊����,該保護(hù)方法包含接收觀測(cè)數(shù)據(jù),其中該觀測(cè)數(shù)據(jù)包含有未辨識(shí)數(shù)據(jù)與已辨識(shí)數(shù)據(jù)中至少之一�;根據(jù)轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊,轉(zhuǎn)換該觀測(cè)數(shù)據(jù)為第一對(duì)應(yīng)數(shù)據(jù)�����;根據(jù)引導(dǎo)機(jī)器學(xué)習(xí)模塊,切分該第一對(duì)應(yīng)數(shù)據(jù)為第二對(duì)應(yīng)數(shù)據(jù)��,并提供該第二對(duì)應(yīng)數(shù)據(jù)至機(jī)器學(xué)習(xí)模塊���;該機(jī)器學(xué)習(xí)模塊接收輸入數(shù)據(jù)����,且根據(jù)特征模式數(shù)據(jù)庫(kù)處理該輸入數(shù)據(jù)���,以產(chǎn)生特征辨識(shí)結(jié)果�;以及傳輸該特征辨識(shí)結(jié)果至該終端裝置����。本發(fā)明根據(jù)電腦系統(tǒng)中機(jī)器學(xué)習(xí)模塊的辨識(shí)操作來(lái)對(duì)應(yīng)接收特征辨識(shí)結(jié)果�����,以進(jìn)行相關(guān)的掃毒操作��,相較于熟知技術(shù)的終端裝置仍須安裝或預(yù)存有數(shù)據(jù)量龐大的病毒辨識(shí)數(shù)據(jù)庫(kù)�����,硬件限制已大幅下降。
【專(zhuān)利說(shuō)明】
保護(hù)方法與其電腦系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及一種保護(hù)方法與其電腦系統(tǒng)��,尤指一種保護(hù)終端裝置免于一惡意軟件 攻擊的保護(hù)方法與其電腦系統(tǒng)�。
【背景技術(shù)】
[0002] 隨著網(wǎng)際網(wǎng)絡(luò)的快速發(fā)展,一般人網(wǎng)絡(luò)信息的倚賴(lài)程度越來(lái)越普遍���,隨之而來(lái)的 惡意軟件如電腦病毒�����、間碟軟件����、廣告軟件或垃圾郵件等����,皆可打開(kāi)口戶地通過(guò)網(wǎng)際網(wǎng)絡(luò)的 路徑,入侵或攻擊一般人所使用的電腦系統(tǒng)或行動(dòng)裝置����,或像是其他W連接網(wǎng)絡(luò)并執(zhí)行應(yīng) 用程序APP的電子裝置(如智能手表),病毒軟件惡意破壞上述電子裝置的軟�、硬件功能,更 甚者竊取其中的重要信息�。
[0003] 為了建立電腦系統(tǒng)或行動(dòng)裝置的保護(hù)措施�,通常W安裝防毒軟件來(lái)辨識(shí)與隔離任 何潛在的惡意軟件���。傳統(tǒng)上�����,病毒辨識(shí)數(shù)據(jù)庫(kù)的更新與配置需通過(guò)人為操作��,逐一比對(duì)該些 病毒辨識(shí)是否與目前數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)吻合�����,并合理地推測(cè)出潛在病毒辨識(shí)的樣態(tài)����,進(jìn)而提 供電腦系統(tǒng)或行動(dòng)裝置的使用者最有效且即時(shí)性的保護(hù)措施�����。然而�,由于惡意軟件所對(duì)應(yīng) 的程序碼必然與時(shí)俱變�����,使得電腦系統(tǒng)或行動(dòng)裝置的防毒軟件必須隨時(shí)進(jìn)行更新W下載最 新的病毒辨識(shí)數(shù)據(jù)庫(kù),但病毒辨識(shí)數(shù)據(jù)庫(kù)中的資料數(shù)據(jù)往往過(guò)于龐大����,加上人為操作的更 新速度無(wú)法跟上惡意軟件程序碼的演變,而不利于所有電腦系統(tǒng)或行動(dòng)裝置的保護(hù)操作�, 另外在一般電子裝置中,因不具有儲(chǔ)存大量病毒信息的存儲(chǔ)空間����,而導(dǎo)致中毒之后無(wú)法解 決的困擾。
[0004] 因此�����,提供另一種保護(hù)終端裝置的保護(hù)方法與其電腦系統(tǒng)���,來(lái)避免終端裝置受惡 意軟件的攻擊�����,已成為本領(lǐng)域的重要課題��。
【發(fā)明內(nèi)容】
陽(yáng)〇化]因此��,本發(fā)明的主要目的即在于提供一種保護(hù)終端裝置的保護(hù)方法與其電腦系 統(tǒng)�����,來(lái)避免終端裝置受惡意軟件的攻擊��。
[0006] 本發(fā)明掲露一種保護(hù)方法�,用W解除一惡意軟件于一終端裝置的攻擊,該保護(hù)方 法包含取得一觀測(cè)數(shù)據(jù)���,其中該觀測(cè)數(shù)據(jù)包含有一未辨識(shí)數(shù)據(jù)與一已辨識(shí)數(shù)據(jù)中至少之 一��;根據(jù)一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊����,轉(zhuǎn)換該觀測(cè)數(shù)據(jù)為一第一對(duì)應(yīng)數(shù)據(jù)�;根據(jù)一引導(dǎo)機(jī)器學(xué)習(xí) 模塊,切分該第一對(duì)應(yīng)數(shù)據(jù)為一第二對(duì)應(yīng)數(shù)據(jù)���,并提供該第二對(duì)應(yīng)數(shù)據(jù)至一機(jī)器學(xué)習(xí)模塊����; 該機(jī)器學(xué)習(xí)模塊接收一輸入數(shù)據(jù)����,且根據(jù)一特征模式數(shù)據(jù)庫(kù)處理該輸入數(shù)據(jù),W產(chǎn)生一特 征辨識(shí)結(jié)果��;W及傳輸該特征辨識(shí)結(jié)果至該終端裝置���。
[0007] 本發(fā)明另掲露一種電腦系統(tǒng)����,禪接一終端裝置����,并用W解除一惡意軟件于該終端 裝置的攻擊,該電腦系統(tǒng)包含一中央處理器�;W及一儲(chǔ)存裝置,禪接于該中央處理器���,并儲(chǔ) 存有一程序碼�,該程序碼用來(lái)進(jìn)行一保護(hù)方法�����,該保護(hù)方法包含接收一觀測(cè)數(shù)據(jù)�,其中該觀 測(cè)數(shù)據(jù)包含有一未辨識(shí)數(shù)據(jù)與一已辨識(shí)數(shù)據(jù)中至少之一;根據(jù)一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊��,轉(zhuǎn)換 該觀測(cè)數(shù)據(jù)為一第一對(duì)應(yīng)數(shù)據(jù);根據(jù)一引導(dǎo)機(jī)器學(xué)習(xí)模塊���,切分該第一對(duì)應(yīng)數(shù)據(jù)為一第二 對(duì)應(yīng)數(shù)據(jù)�����,并提供該第二對(duì)應(yīng)數(shù)據(jù)至一機(jī)器學(xué)習(xí)模塊���;該機(jī)器學(xué)習(xí)模塊接收一輸入數(shù)據(jù),且 根據(jù)一特征模式數(shù)據(jù)庫(kù)處理該輸入數(shù)據(jù)����,W產(chǎn)生一特征辨識(shí)結(jié)果;W及傳輸該特征辨識(shí)結(jié) 果至該終端裝置���。
[0008] 本發(fā)明另掲露一種電腦系統(tǒng)���,禪接一終端裝置,并用W解除一惡意軟件于該終端 裝置的攻擊����,該電腦系統(tǒng)包含一中央處理器;該中央處理器包括:
[0009] 接收模塊�,接收一觀測(cè)數(shù)據(jù),其中該觀測(cè)數(shù)據(jù)包含有一未辨識(shí)數(shù)據(jù)與一已辨識(shí)數(shù) 據(jù)中至少之一�;
[0010] 轉(zhuǎn)換模塊,根據(jù)一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊�����,轉(zhuǎn)換該觀測(cè)數(shù)據(jù)為一第一對(duì)應(yīng)數(shù)據(jù)�;
[0011] 切分模塊,根據(jù)一引導(dǎo)機(jī)器學(xué)習(xí)模塊����,切分該第一對(duì)應(yīng)數(shù)據(jù)為一第二對(duì)應(yīng)數(shù)據(jù),并 提供該第二對(duì)應(yīng)數(shù)據(jù)至一機(jī)器學(xué)習(xí)模塊�����;
[0012] 所述機(jī)器學(xué)習(xí)模塊���,接收一輸入數(shù)據(jù)�����,且根據(jù)一特征模式數(shù)據(jù)庫(kù)處理該輸入數(shù)據(jù)��, W產(chǎn)生一特征辨識(shí)結(jié)果�;W及
[0013] 傳輸模塊,傳輸該特征辨識(shí)結(jié)果至該終端裝置����。
[0014] 本發(fā)明使終端裝置并非直接儲(chǔ)存或預(yù)設(shè)有特征模式數(shù)據(jù)庫(kù),而是根據(jù)電腦系統(tǒng)中 機(jī)器學(xué)習(xí)模塊的辨識(shí)操作來(lái)對(duì)應(yīng)接收特征辨識(shí)結(jié)果�����,W進(jìn)行相關(guān)的掃毒操作�����,相較于熟知 技術(shù)的終端裝置仍須安裝或預(yù)存有數(shù)據(jù)量龐大的病毒辨識(shí)數(shù)據(jù)庫(kù)�����,本發(fā)明的終端裝置的硬 件限制已大幅下降��。此外�,由于本發(fā)明還利用轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊W及引導(dǎo)機(jī)器學(xué)習(xí)模塊的 兩階段訓(xùn)練與學(xué)習(xí)操作,來(lái)動(dòng)態(tài)地更新特征模式數(shù)據(jù)庫(kù)�,相較于熟知技術(shù)仍須使用大量人 力、時(shí)間成本來(lái)進(jìn)行潛在片段病毒特征數(shù)據(jù)的辨識(shí)操作或更新服務(wù)��,本發(fā)明的兩階段訓(xùn)練 與學(xué)習(xí)操作確實(shí)已可提高各種類(lèi)型惡意軟件的辨識(shí)效率,而增進(jìn)終端裝置使用者的操作便 利和應(yīng)用范圍�。
【附圖說(shuō)明】
[0015] 圖1為本發(fā)明實(shí)施例一電腦系統(tǒng)禪接一終端裝置的示意圖。
[0016] 圖2為本發(fā)明實(shí)施例一保護(hù)流程的流程圖�。
[0017] 圖3為本發(fā)明實(shí)施例一特征模式數(shù)據(jù)樹(shù)狀圖的示意圖���。
[0018] 圖4為本發(fā)明實(shí)施例一辨識(shí)流程的流程圖�。
[0019] 圖5為本發(fā)明實(shí)施例一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊與一引導(dǎo)機(jī)器學(xué)習(xí)模塊的結(jié)果示意圖�����。
[0020] 其中����,附圖標(biāo)記說(shuō)明如下:
[0021] 10 電腦系統(tǒng) 陽(yáng)〇2引 100 中央處理器 陽(yáng)〇2引 102 儲(chǔ)存裝置
[0024] 104 機(jī)器學(xué)習(xí)模塊 陽(yáng)02引 12 終端裝置
[0026] 20 保護(hù)流程
[0027] 200、202����、204、206�、208、210�、步驟 212、400�、402、404、406
[0028] 30 特征模式數(shù)據(jù)樹(shù)狀圖
[0029] 300 支干
[0030] 40 辨識(shí)流程 陽(yáng)〇3U G_1 群組數(shù)據(jù)
[0032] 0b_l~0b_3 觀測(cè)數(shù)據(jù) 陽(yáng)03�;3] V_1 電腦病毒
[0034] V_l_l~V_l_3 特定電腦病毒種類(lèi)
[0035] Offset 1 ~Offset? 偏移量
[0036] Token A ~Token F 標(biāo)志
[0037] Script 1 ~Script 3 治愈數(shù)據(jù)
【具體實(shí)施方式】
[0038] 在說(shuō)明書(shū)及后續(xù)的權(quán)利要求書(shū)當(dāng)中使用了某些詞匯來(lái)指稱(chēng)特定的元件。本領(lǐng)域技 術(shù)人員應(yīng)可理解�,制造商可能會(huì)用不同的名詞來(lái)稱(chēng)呼同樣的元件。本說(shuō)明書(shū)及后續(xù)的權(quán)利 要求書(shū)并不W名稱(chēng)的差異來(lái)作為區(qū)別元件的方式����,而是W元件在功能上的差異來(lái)作為區(qū)別 的基準(zhǔn)。在通篇說(shuō)明書(shū)及后續(xù)的權(quán)利要求當(dāng)中所提及的"包含"為一開(kāi)放式的用語(yǔ)�,故應(yīng)解 釋成"包含但不限定于"。此外��,"禪接"一詞在此包含任何直接及間接的電氣連接手段��。因 此�����,若文中描述一第一裝置禪接于一第二裝置���,則代表該第一裝置可直接連接于該第二裝 置�����,或通過(guò)其他裝置或連接手段間接地連接至該第二裝置����。
[0039] 請(qǐng)參考圖1,圖1為本發(fā)明實(shí)施例的一電腦系統(tǒng)10禪接一終端裝置12的示意圖��。 如圖1所示����,本實(shí)施例的電腦系統(tǒng)10基本架構(gòu)包含如主機(jī)板、處理器�、存儲(chǔ)器���、硬盤(pán)�、南橋 模塊�����、北橋模塊等���,其應(yīng)是本領(lǐng)域所熟知��,為求簡(jiǎn)潔����,圖1僅示出電腦系統(tǒng)10的中央處理器 100、儲(chǔ)存裝置102與機(jī)器學(xué)習(xí)模塊104�。儲(chǔ)存裝置102可W是只讀存儲(chǔ)器、快閃存儲(chǔ)器��、軟 盤(pán)�����、硬盤(pán)�、光盤(pán)、隨身盤(pán)����、磁帶、可由網(wǎng)絡(luò)存取的數(shù)據(jù)庫(kù)��,或是本領(lǐng)域技術(shù)人員所熟知的任何 其它儲(chǔ)存媒體等�����,用W儲(chǔ)存一程序碼�����,中央處理器100可執(zhí)行程序碼來(lái)進(jìn)終端裝置12所適 用的一保護(hù)方法��,而機(jī)器學(xué)習(xí)模塊104禪接中央處理器100與儲(chǔ)存裝置102,并通過(guò)保護(hù)方 法來(lái)產(chǎn)生一病毒特征辨識(shí)結(jié)果且傳輸至終端裝置12, W解除或避免終端裝置12遭受一惡 意軟件(如電腦病毒、間碟軟件���、廣告軟件或垃圾郵件等)的攻擊或入侵��。當(dāng)然����,本實(shí)施例直 接示出電腦系統(tǒng)10中的機(jī)器學(xué)習(xí)模塊104,來(lái)清楚標(biāo)示本發(fā)明的主要技術(shù)特征�����,于其他實(shí) 施例中機(jī)器學(xué)習(xí)模塊104的軟硬件操作機(jī)制�,亦可由本實(shí)施例的中央處理器100與儲(chǔ)存裝 置102彼此相互整合來(lái)提供相對(duì)應(yīng)的軟硬件操作而取代的���,非用W限制本發(fā)明的范疇����。再 者��,本實(shí)施例的電腦系統(tǒng)10于儲(chǔ)存裝置102中儲(chǔ)存有一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊(Trans化ctive machine learning)與一引導(dǎo)機(jī)器學(xué)習(xí)模塊(Inductive machine learning)所對(duì)應(yīng)的另 一程序碼���,且可通過(guò)中央處理器100的控制���,進(jìn)行另一訓(xùn)練與學(xué)習(xí)操作�����,當(dāng)然���,本實(shí)施例中 轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊與引導(dǎo)機(jī)器學(xué)習(xí)模塊所對(duì)應(yīng)的程序碼亦可獨(dú)立成為另一機(jī)器學(xué)習(xí)模塊 (未顯示于圖1中),且禪接中央處理器100與儲(chǔ)存裝置102,而非用W限制本發(fā)明的范疇����。
[0040] 于本實(shí)施例中,電腦系統(tǒng)10與終端裝置12之間的傳輸方式可為一有線傳輸或一 無(wú)線傳輸���,非用W限制本發(fā)明的范疇�����。至于終端裝置12的實(shí)施態(tài)樣例如可為另一電腦系 統(tǒng)�、一行動(dòng)裝置(如手機(jī)�、平板、個(gè)人行動(dòng)秘書(shū)裝置)���、一筆記本電腦����、一智能手表、一可運(yùn)算 攜帶式電子產(chǎn)品或一多媒體電子裝置等�,當(dāng)然,本實(shí)施例中的終端裝置12亦可和電腦系統(tǒng) 10間相互整合��,來(lái)形成單一電腦系統(tǒng)10,此亦屬于本發(fā)明的范疇之一�。
[0041] 進(jìn)一步,本實(shí)施例終端裝置12所適用的保護(hù)方法可歸納為一保護(hù)流程20,且被編 譯為程序碼而儲(chǔ)存于儲(chǔ)存裝置102中��,如圖2所示���,保護(hù)流程20包含w下步驟��。
[00創(chuàng)步驟200:開(kāi)始��。 陽(yáng)0創(chuàng)步驟202 :電腦系統(tǒng)10接收一觀測(cè)數(shù)據(jù)。
[0044] 步驟204 :電腦系統(tǒng)10根據(jù)轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊��,轉(zhuǎn)換觀測(cè)數(shù)據(jù)為一第一對(duì)應(yīng)數(shù)據(jù)�。
[0045] 步驟206 :電腦系統(tǒng)10根據(jù)引導(dǎo)機(jī)器學(xué)習(xí)模塊,切分第一對(duì)應(yīng)數(shù)據(jù)為一第二對(duì)應(yīng) 數(shù)據(jù)�,并提供第二對(duì)應(yīng)數(shù)據(jù)至機(jī)器學(xué)習(xí)模塊104。
[0046] 步驟208 :機(jī)器學(xué)習(xí)模塊104接收一輸入數(shù)據(jù)�����,且根據(jù)一特征模式數(shù)據(jù)庫(kù)處理輸入 數(shù)據(jù),W產(chǎn)生一特征辨識(shí)結(jié)果����。
[0047] 步驟210 :傳輸特征辨識(shí)結(jié)果至終端裝置12。 W4引步驟212:結(jié)束�。
[0049] 于步驟202中,本實(shí)施例中的電腦系統(tǒng)10適當(dāng)?shù)亟邮諄?lái)自一可運(yùn)算裝置�����、一遠(yuǎn)端 儲(chǔ)存裝置��、一應(yīng)用程序或一網(wǎng)絡(luò)數(shù)據(jù)所對(duì)應(yīng)的一操作或一數(shù)據(jù)����,例如傳輸/夾帶的電子檔 案、安裝一特定程序的操作或開(kāi)啟一網(wǎng)頁(yè)數(shù)據(jù)的瀏覽操作��,并將該些操作或數(shù)據(jù)中至少之 一當(dāng)作本實(shí)施例的觀測(cè)數(shù)據(jù)����,進(jìn)而從該些觀測(cè)數(shù)據(jù)中檢測(cè)是否有存在最新或潛在的病毒特 征數(shù)據(jù)。較佳地,本實(shí)施例的觀測(cè)數(shù)據(jù)中包含有一未辨識(shí)數(shù)據(jù)與一已辨識(shí)數(shù)據(jù)中至少之一�, 其中已辨識(shí)數(shù)據(jù)是該筆數(shù)據(jù)所攜帶的至少一片段病毒特征數(shù)據(jù)已可被辨識(shí),而未辨識(shí)數(shù)據(jù) 是該筆數(shù)據(jù)所攜帶的片段病毒特征數(shù)據(jù)仍未可被辨識(shí)�。
[0050] 于步驟204中,本實(shí)施例中的電腦系統(tǒng)10根據(jù)轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊所對(duì)應(yīng)的程序碼 的操作�����,轉(zhuǎn)換觀測(cè)數(shù)據(jù)來(lái)形成第一對(duì)應(yīng)數(shù)據(jù)����。較佳地,若觀測(cè)數(shù)據(jù)有潛在的片段病毒特征數(shù) 據(jù)���,于電腦系統(tǒng)10接收至少一未辨識(shí)數(shù)據(jù)和/或已辨識(shí)數(shù)據(jù)后��,轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊可對(duì)應(yīng) 判斷是否存在有不同種類(lèi)的惡意軟件�,W將觀測(cè)數(shù)據(jù)進(jìn)行一初步分類(lèi)��,進(jìn)而產(chǎn)生第一對(duì)應(yīng) 數(shù)據(jù)�。
[0051] 舉例來(lái)說(shuō),本實(shí)施例可包含有惡意軟件¥_1~V_4等四種���,且不同惡意軟件間具 備有不同的一可辨識(shí)特征數(shù)據(jù)來(lái)分別代表電腦病毒v_l、一間碟軟件v_2、一廣告軟件V_3 或一垃圾郵件V_4,在此情況下��,本實(shí)施例的轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊參考觀測(cè)數(shù)據(jù)化_1~化_N 每一個(gè)所包含的可辨識(shí)特征數(shù)據(jù)��,W將觀測(cè)數(shù)據(jù)化_1~化_N分為不同的群組數(shù)據(jù)G_1~ G_4��。其中����,每一群組數(shù)據(jù)被視為一特征群聚(1油eled cluster)且包含有相同的可辨識(shí)特 征數(shù)據(jù),而本實(shí)施例中的群組數(shù)據(jù)G_1~G_4例如依序?yàn)橐浑娔X病毒V_1����、一間碟軟件V_2、 一廣告軟件V_3或一垃圾郵件V_4等�,非用W限制本發(fā)明的范疇。至于觀測(cè)數(shù)據(jù)化_1~ ^_N對(duì)應(yīng)至群組數(shù)據(jù)G_1~G_4的對(duì)應(yīng)結(jié)果�,則為本實(shí)施例中的第一對(duì)應(yīng)數(shù)據(jù)。因此���,本實(shí) 施例的轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊判斷每一觀測(cè)數(shù)據(jù)(包含至少一未辨識(shí)數(shù)據(jù)和/或已辨識(shí)數(shù)據(jù)) 是否屬于相同的惡意軟件��,并將其對(duì)應(yīng)結(jié)果傳輸至引導(dǎo)機(jī)器學(xué)習(xí)模塊����,來(lái)做為引導(dǎo)機(jī)器學(xué) 習(xí)模塊的輸入數(shù)據(jù)。
[0052] 于步驟206中��,電腦系統(tǒng)10根據(jù)引導(dǎo)機(jī)器學(xué)習(xí)模塊所對(duì)應(yīng)的程序碼的操作��,轉(zhuǎn)換 第一對(duì)應(yīng)數(shù)據(jù)來(lái)形成第二對(duì)應(yīng)數(shù)據(jù)��,并傳輸?shù)诙?duì)應(yīng)數(shù)據(jù)至機(jī)器學(xué)習(xí)模塊104��。較佳地��,本 實(shí)施例中的引導(dǎo)機(jī)器學(xué)習(xí)模塊可將每一特征群聚再分類(lèi)為多個(gè)特征子群聚�����,W將初步對(duì)應(yīng) 后的觀測(cè)數(shù)據(jù)(包含未辨識(shí)數(shù)據(jù)與已辨識(shí)數(shù)據(jù)中至少之一)對(duì)應(yīng)至多個(gè)特征子群聚���,進(jìn)而 產(chǎn)生第二對(duì)應(yīng)數(shù)據(jù)��。
[0053] 舉例來(lái)說(shuō)����,本實(shí)施例的引導(dǎo)機(jī)器學(xué)習(xí)模塊可將每一群組數(shù)據(jù)如G_1所對(duì)應(yīng)的電腦 病毒v_l分類(lèi)為不同型號(hào)�����、版本或編碼的單一特定惡意軟件種類(lèi)如v_l_l~v_l_n,W將歸 類(lèi)為群組數(shù)據(jù)G_1的所有觀測(cè)數(shù)據(jù)(即相同種類(lèi)的惡意軟件)再細(xì)分為不同的特定惡意軟 件種類(lèi)����,進(jìn)而得到每一群組數(shù)據(jù)(包含至少一未辨識(shí)數(shù)據(jù)和/或已辨識(shí)數(shù)據(jù))對(duì)應(yīng)至單一 特征群聚中所有特征子群聚的對(duì)應(yīng)結(jié)果����,且形成第二對(duì)應(yīng)數(shù)據(jù)來(lái)傳輸至機(jī)器學(xué)習(xí)模塊104。 因此�,本實(shí)施例的引導(dǎo)機(jī)器學(xué)習(xí)模塊可將專(zhuān)屬不同惡意軟件的觀測(cè)數(shù)據(jù)(包含至少一未辨 識(shí)數(shù)據(jù)和/或已辨識(shí)數(shù)據(jù))再分類(lèi)為不同型號(hào)、版本或編碼的單一特定惡意軟件種類(lèi)����,并將 其對(duì)應(yīng)結(jié)果傳輸至機(jī)器學(xué)習(xí)模塊104,來(lái)提供機(jī)器學(xué)習(xí)模塊104的相關(guān)更新操作。
[0054] 較佳地�����,本實(shí)施例電腦系統(tǒng)10的機(jī)器學(xué)習(xí)模塊104還包含有特征模式數(shù)據(jù)庫(kù)�����,且 特征模式數(shù)據(jù)庫(kù)預(yù)設(shè)有多個(gè)特征模式數(shù)據(jù)��,而每一特征模式數(shù)據(jù)為進(jìn)行保護(hù)流程20之前 已成功對(duì)應(yīng)至一特征子群聚的已辨識(shí)數(shù)據(jù)(即已辨識(shí)數(shù)據(jù)對(duì)應(yīng)至一特征子群聚的對(duì)應(yīng)結(jié) 果)����,且該些特征模式數(shù)據(jù)可用來(lái)辨識(shí)潛在的片段病毒特征數(shù)據(jù)��。據(jù)此�,本實(shí)施例的機(jī)器學(xué) 習(xí)模塊104利用觀測(cè)數(shù)據(jù)(包含至少一未辨識(shí)數(shù)據(jù)和/或已辨識(shí)數(shù)據(jù))���,并適應(yīng)性地通過(guò) 轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊W及引導(dǎo)機(jī)器學(xué)習(xí)模塊的兩階段操作�,W完成針對(duì)每一筆觀測(cè)數(shù)據(jù)的有 效率且精準(zhǔn)的學(xué)習(xí)與訓(xùn)練操作�,進(jìn)而將潛在的片段病毒特征數(shù)據(jù)與其對(duì)應(yīng)至多個(gè)特定惡意 軟件種類(lèi)的對(duì)應(yīng)結(jié)果(即第二對(duì)應(yīng)數(shù)據(jù))傳輸至機(jī)器學(xué)習(xí)模塊104,使得機(jī)器學(xué)習(xí)模塊104 的特征模式數(shù)據(jù)庫(kù)可動(dòng)態(tài)/即時(shí)地進(jìn)行更新操作,相較于熟知技術(shù)���,本實(shí)施例所提供的轉(zhuǎn) 導(dǎo)機(jī)器學(xué)習(xí)模塊W及引導(dǎo)機(jī)器學(xué)習(xí)模塊的訓(xùn)練與學(xué)習(xí)操作��,已無(wú)需通過(guò)人力操作來(lái)更新或 配置特征模式數(shù)據(jù)庫(kù)中的龐大數(shù)據(jù)量�����,對(duì)應(yīng)提高辨識(shí)各種類(lèi)型的惡意軟件的處理效率��。
[0055] 換言之���,本實(shí)施例中的機(jī)器學(xué)習(xí)模塊104可即時(shí)進(jìn)行特征模式數(shù)據(jù)庫(kù)的更新操 作,同時(shí)對(duì)應(yīng)儲(chǔ)存該些對(duì)應(yīng)結(jié)果(即第二對(duì)應(yīng)數(shù)據(jù))����。據(jù)此���,于步驟208中,當(dāng)機(jī)器學(xué)習(xí)模 塊104接收輸入數(shù)據(jù)后����,機(jī)器學(xué)習(xí)模塊104將進(jìn)行輸入數(shù)據(jù)與特征模式數(shù)據(jù)庫(kù)所儲(chǔ)存的對(duì) 應(yīng)結(jié)果間的一辨識(shí)操作����,W產(chǎn)生特征辨識(shí)結(jié)果,且于步驟210中���,傳輸特征辨識(shí)結(jié)果至終端 裝置12,進(jìn)而提供終端裝置12處理不同惡意軟件的適應(yīng)性保護(hù)操作���。較佳地,本實(shí)施例的 輸入數(shù)據(jù)為電腦系統(tǒng)10接收來(lái)自可運(yùn)算裝置���、遠(yuǎn)端儲(chǔ)存裝置�、應(yīng)用程序或網(wǎng)絡(luò)數(shù)據(jù)等所對(duì) 應(yīng)的操作或數(shù)據(jù)�,來(lái)代表各類(lèi)型潛在的惡意軟件。至于本實(shí)施例所用的辨識(shí)操作���,可理解為 一分散(Separation)流程���,例如通過(guò)一合并特征方程式(Joint feature function),于輸 入數(shù)據(jù)與特征模式數(shù)據(jù)庫(kù)所儲(chǔ)存的對(duì)應(yīng)結(jié)果間進(jìn)行比對(duì)�����,來(lái)判斷該些輸入數(shù)據(jù)中有潛伏的 惡意軟件�����。
[0056] 值得注意地��,為了避免惡意軟件會(huì)輕易地被終端裝置的防毒軟件所偵測(cè)���,惡意軟 件的設(shè)計(jì)者常將惡意軟件的本體分解成多個(gè)子體,且安插于一或多個(gè)電子檔案內(nèi)的多個(gè)位 元位置�����,而本實(shí)施例將通過(guò)特征模式數(shù)據(jù)庫(kù)中的一或多個(gè)特征模式數(shù)據(jù)樹(shù)狀圖��,來(lái)辨識(shí)惡 意軟件的本體和/或本體的多個(gè)子體���。請(qǐng)參考圖3,圖3為本發(fā)明實(shí)施例一特征模式數(shù)據(jù)樹(shù) 狀圖30的示意圖���。如圖3所示���,本實(shí)施例的特征模式數(shù)據(jù)樹(shù)狀圖30包含有多個(gè)可辨識(shí)特 征數(shù)據(jù),如圖3中所圈示的一支干300,同時(shí)�,支干300可代表一電子檔案的結(jié)構(gòu)特征,并標(biāo) 示有惡意軟件的多個(gè)子體的所在位置�。其中,每一支干皆包含有多個(gè)標(biāo)志(token)來(lái)代表 單一子體�,每一子體間可串接形成一線狀實(shí)施態(tài)樣����,每?jī)蓚€(gè)標(biāo)志間的連接線為該些標(biāo)志安 插于電子檔案內(nèi)所代表的偏移量(Offset),且每一可辨識(shí)特征數(shù)據(jù)末端的標(biāo)志還禪接一治 愈數(shù)據(jù)(script)���。一旦惡意軟件的本體和/或多個(gè)子體已被辨識(shí)時(shí)���,治愈數(shù)據(jù)可對(duì)應(yīng)進(jìn)行 終端裝置12的掃毒操作,例如刪除或隔離該些可辨識(shí)特征數(shù)據(jù)�,來(lái)免除惡意軟件對(duì)終端裝 置12的入侵或攻擊。
[0057] 詳細(xì)來(lái)說(shuō)��,于辨識(shí)操作下���,本實(shí)施例將進(jìn)行一半監(jiān)督特征學(xué)習(xí)(Semi-supervised struc化red learning)操作����,其將定義合并特征方程式為Φ (X, y),其中X代表一訓(xùn)練后數(shù) 據(jù)�,而y代表一候選預(yù)測(cè)值,兩者是通過(guò)Φ (X����,y)對(duì)應(yīng)至一向量,而該向量具有一長(zhǎng)度n��,且 η值根據(jù)不同訓(xùn)練模塊而有不同��,同時(shí)本實(shí)施例還定義另一方程式GEN來(lái)產(chǎn)生該候選預(yù)測(cè) 值���,并預(yù)設(shè)長(zhǎng)度η對(duì)應(yīng)一權(quán)重向量W�����,W及預(yù)設(shè)一遞回操作的次數(shù)��。據(jù)此����,本實(shí)施利將進(jìn)行 歹二a巧max{y £ G£W(;〇}(wr〇〇,3/:))的遞回操作�,且隨者時(shí)間t的演化適當(dāng)更新 權(quán)重向量W的值,即進(jìn)巧W二W + c(-0(x,巧+巧(x/t))之的操作����,其中C代表一學(xué)習(xí) 比率。據(jù)此��,遞回操作結(jié)束后���,本實(shí)施例所得的候選預(yù)測(cè)值可判斷輸入數(shù)據(jù)與特征模式數(shù)據(jù) 庫(kù)所儲(chǔ)存的對(duì)應(yīng)結(jié)果間是否存在有相同的至少一可辨識(shí)特征數(shù)據(jù)�。
[0058] 于本實(shí)施例中�,完成半監(jiān)督特征學(xué)習(xí)操作后�����,且機(jī)器學(xué)習(xí)模塊104判斷多個(gè)特征 模式數(shù)據(jù)與輸入數(shù)據(jù)間包含有相同的至少一可辨識(shí)特征數(shù)據(jù)時(shí)(即輸入數(shù)據(jù)中包含或攜 帶有潛在的惡意軟件)�,本實(shí)施例的機(jī)器學(xué)習(xí)模塊104將至少一可辨識(shí)特征數(shù)據(jù)與其所禪 接的治愈數(shù)據(jù)作為特征辨識(shí)結(jié)果,并將特征辨識(shí)結(jié)果傳輸至終端裝置12來(lái)進(jìn)行其保護(hù)操 作�����。較佳地,本實(shí)施例的電腦系統(tǒng)10可為一終端伺服器����,且經(jīng)由一有線傳輸或一無(wú)線傳輸 來(lái)傳送特征辨識(shí)結(jié)果(包含至少一可辨識(shí)特征數(shù)據(jù)與其禪接的治愈數(shù)據(jù))至終端裝置12, W進(jìn)行終端裝置的掃毒操作來(lái)刪除或隔離惡意軟件的本體或多個(gè)子體���,進(jìn)而免除終端裝置 12恐遭惡意軟件的入侵或攻擊�����。
[0059] 于另一實(shí)施例中����,一旦判斷多個(gè)特征模式數(shù)據(jù)與輸入數(shù)據(jù)間并未包含有相同的至 少一可辨識(shí)特征數(shù)據(jù)時(shí)���,本實(shí)施例將還進(jìn)行一相似核屯���、(Similarity kernels)操作,W產(chǎn) 生一處方性分析(Prescriptive anal}ftics)結(jié)果或一認(rèn)知性分析(Co即itive anal}ftics) 結(jié)果來(lái)作為特征辨識(shí)結(jié)果����,并傳輸特征辨識(shí)結(jié)果至終端裝置12來(lái)執(zhí)行其保護(hù)操作。 W60] 舉例來(lái)說(shuō)��,于相似核屯、操作下��,本實(shí)施例將定義一打分方程式(Scoring 化nction)為F: X X ? hV股���,其中X代表一輸入數(shù)據(jù)��,而y代表特征模式數(shù)據(jù)庫(kù)所儲(chǔ)存的 對(duì)應(yīng)結(jié)果�����,并進(jìn)行夕ar巧maXyey(A(y,.,y) +ννΤψ(χ,.,y))之的操作�,或通過(guò)Mercer kernel 的操作如 Κ((Χι����,心,(Xj�����,yj)) = < I Ψ (Xi�,yi)�,Ψ (Xj,tj) I〉W取得本實(shí)施例的打分 方程式為
[0061]
同時(shí)還 結(jié)合於二α巧maXyey(A(斯y) + F0,的)之的操作���,來(lái)表達(dá)最有可能的潛在惡 意軟件的組合為歹二(兄,歷)�����。另夕F�����,本實(shí)施例還利用K奶)�,(兮巧))= X;�����;) · Ω{��;於,y����;;斬鳴;).之的操作�����,來(lái)預(yù)測(cè)潛在的惡意軟件的來(lái)源或種類(lèi)��,其中 Λ (Χι,Χ,)代表輸入數(shù)據(jù)的相似度�,而Ω (yi,y,)代表特征模式數(shù)據(jù)庫(kù)中不同可辨識(shí)特征數(shù) 據(jù)的相似度���。
[0062] 再者�,本實(shí)施例還選用Gaussian kernel Λ來(lái)表示輸入數(shù)據(jù)之間的距離或離散程 度�����,旨[
并選用η = 4來(lái)表 示輸入數(shù)據(jù)為可運(yùn)算裝置�����、遠(yuǎn)端儲(chǔ)存裝置��、應(yīng)用程序或網(wǎng)絡(luò)數(shù)據(jù)等四種來(lái)源處所對(duì)應(yīng)的各 種操作或數(shù)據(jù)�����。此外�����,本實(shí)施例還通過(guò)
:之的操 作來(lái)表示一特定可辨識(shí)特征數(shù)據(jù)的相似度���,其中包含有潛在惡意軟件的Ξ種核屯���、計(jì)算值, 分別為Node kernel來(lái)代表位置(position)����、Token kernel來(lái)代表特征(si即ature) W及 Script kernel來(lái)代表治愈數(shù)據(jù)(script)。
[0063] 在此情況下���,當(dāng)取得相似核屯����、操作的辨識(shí)結(jié)果����,且查覺(jué)輸入數(shù)據(jù)中存在潛伏的惡 意軟件的本體或多個(gè)子體中之一時(shí),本實(shí)施例的機(jī)器學(xué)習(xí)模塊104將適當(dāng)提供處方性分析 結(jié)果至終端裝置12,其中處方性分析結(jié)果包含有一或多種可選擇的掃毒方式����,且可告知/ 建議終端裝置使用者多種選擇/手段,W刪除或隔離夾帶惡意軟件的本體和/或多個(gè)子體 的電子檔案(即該些潛在的片段病毒特征數(shù)據(jù))��?;蛘?�,本實(shí)施例的機(jī)器學(xué)習(xí)模塊104另可 提供認(rèn)知性分析結(jié)果���,來(lái)告知終端裝置使用者,目前終端裝置12正遭受某一特定惡意軟件 的攻擊或入侵�,而應(yīng)采用該某一特定惡意軟件所對(duì)應(yīng)的特定掃毒操作,W預(yù)防性地清除或 隔離該某一特定惡意軟件的入侵或攻擊����,進(jìn)而避免終端裝置12發(fā)生無(wú)法正常運(yùn)作或檔案 損壞的情形。
[0064] 進(jìn)一步����,于步驟208中機(jī)器學(xué)習(xí)模塊104所適用的辨識(shí)操作,還可被歸納為一辨識(shí) 流程40,且被編譯為程序碼而儲(chǔ)存于儲(chǔ)存裝置102中��,如圖4所示����,辨識(shí)流程40包含W下步 驟。 W65] 步驟400:開(kāi)始�����。
[0066] 步驟402 :通過(guò)半監(jiān)督特征學(xué)習(xí)操作,W判斷輸入數(shù)據(jù)與特征模式數(shù)據(jù)庫(kù)所儲(chǔ)存 的對(duì)應(yīng)結(jié)果間是否存在有相同的至少一可辨識(shí)特征數(shù)據(jù)�。若兩者存在相同的可辨識(shí)特征數(shù) 據(jù),進(jìn)行步驟404,否則進(jìn)行步驟406��。
[0067] 步驟404 :機(jī)器學(xué)習(xí)模塊104傳輸特征辨識(shí)結(jié)果至終端裝置12來(lái)進(jìn)行其保護(hù)操 作��。 W側(cè)步驟406 :再通過(guò)相似核屯����、操作�����,W對(duì)應(yīng)產(chǎn)生處方性分析結(jié)果或認(rèn)知性分析結(jié)果 來(lái)執(zhí)行終端裝置12的保護(hù)操作�����。
[0069] 由于圖4所示辨識(shí)流程40的相關(guān)操作已于步驟208與步驟210的相關(guān)段落進(jìn)行 說(shuō)明����,為避免不必要的寶述,在此僅簡(jiǎn)單圖示辨識(shí)流程40來(lái)進(jìn)行說(shuō)明���。
[0070] 簡(jiǎn)言之�����,本實(shí)施例中的終端裝置12并非直接儲(chǔ)存或預(yù)設(shè)有特征模式數(shù)據(jù)庫(kù)��,而是 根據(jù)電腦系統(tǒng)10中機(jī)器學(xué)習(xí)模塊104的辨識(shí)操作來(lái)對(duì)應(yīng)接收特征辨識(shí)結(jié)果�����,W進(jìn)行相關(guān)的 掃毒操作�,相較于熟知技術(shù)的終端裝置仍須安裝或預(yù)存有數(shù)據(jù)量龐大的病毒辨識(shí)數(shù)據(jù)庫(kù), 本實(shí)施例所提供的終端裝置12的硬件限制已大幅下降���。此外����,由于本實(shí)施例還利用轉(zhuǎn)導(dǎo)機(jī) 器學(xué)習(xí)模塊W及引導(dǎo)機(jī)器學(xué)習(xí)模塊的兩階段訓(xùn)練與學(xué)習(xí)操作����,來(lái)動(dòng)態(tài)地更新特征模式數(shù)據(jù) 庫(kù),相較于熟知技術(shù)仍須使用大量人力�����、時(shí)間成本來(lái)進(jìn)行潛在片段病毒特征數(shù)據(jù)的辨識(shí)操 作或更新服務(wù)���,本實(shí)施例的兩階段訓(xùn)練與學(xué)習(xí)操作確實(shí)已可提高各種類(lèi)型惡意軟件的辨識(shí) 效率���,而增進(jìn)終端裝置使用者的操作便利和應(yīng)用范圍����。
[0071] 值得注意地����,本實(shí)施例并未限制電腦系統(tǒng)10與終端裝置12間的溝通與時(shí)機(jī)����,使得 本實(shí)施例的輸入數(shù)據(jù)可由電腦系統(tǒng)10與終端裝置12中任一方取得,并經(jīng)電腦系統(tǒng)10的機(jī) 器學(xué)習(xí)模塊104的操作后����,對(duì)應(yīng)取得不同輸入數(shù)據(jù)的相關(guān)保護(hù)方法,W利于終端裝置12來(lái) 進(jìn)行各類(lèi)型惡意軟件的掃毒操作�����。當(dāng)然����,本領(lǐng)域技術(shù)人員亦可加入不同的傳輸加解密操作 或認(rèn)證機(jī)制等,W搭配有本實(shí)施例中電腦系統(tǒng)10與終端裝置12間的傳輸操作,而非用W限 制本發(fā)明的范疇��。
[0072] 此外��,請(qǐng)?jiān)賲⒖紙D5,圖5為本發(fā)明實(shí)施例一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊與一引導(dǎo)機(jī)器學(xué)習(xí) 模塊的結(jié)果示意圖�,其中,圖5左邊為轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊的結(jié)果示意圖��,圖中僅列出單一已 被分類(lèi)為相同群組數(shù)據(jù)G_l����,且包含有觀測(cè)數(shù)據(jù)化_1~化_3,同時(shí)群組數(shù)據(jù)G_1對(duì)應(yīng)為惡 意軟件中之一如電腦病毒V_l。另外���,圖5右邊為引導(dǎo)機(jī)器學(xué)習(xí)模塊的結(jié)果示意圖���,根據(jù)圖 5左邊所示的對(duì)應(yīng)結(jié)果,觀測(cè)數(shù)據(jù)化_1~化_3還被操作來(lái)分別對(duì)應(yīng)為電腦病毒V_1中特定 電腦病毒種類(lèi)如V_l_l~V_l_3��。雖然圖5的實(shí)施例僅為示范性說(shuō)明��,轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊與 引導(dǎo)機(jī)器學(xué)習(xí)模塊如何分別得到第一對(duì)應(yīng)數(shù)據(jù)與第二對(duì)應(yīng)數(shù)據(jù)�����,當(dāng)然,本領(lǐng)域技術(shù)人員還 可適當(dāng)?shù)亟Y(jié)合或修改其他訓(xùn)練與學(xué)習(xí)機(jī)器的設(shè)計(jì)模型�����,W實(shí)現(xiàn)本實(shí)施例中兩階段或多階段 的受訓(xùn)與學(xué)習(xí)操作�,進(jìn)而提供更精準(zhǔn)的對(duì)應(yīng)結(jié)果來(lái)動(dòng)態(tài)更新特征模式數(shù)據(jù)庫(kù),此亦屬于本 發(fā)明的范疇�����。
[0073] 綜上所述����,本發(fā)明實(shí)施例提供一種包含有機(jī)器學(xué)習(xí)模塊的電腦系統(tǒng)���,可接收經(jīng)由 轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊與引導(dǎo)機(jī)器學(xué)習(xí)模塊的受訓(xùn)數(shù)據(jù)�,來(lái)適當(dāng)且即時(shí)地更新機(jī)器學(xué)習(xí)模塊的 特征模式數(shù)據(jù)庫(kù)����;此外,本實(shí)施例的終端裝置不儲(chǔ)存特征模式數(shù)據(jù)庫(kù)的龐大數(shù)據(jù)����,而僅接收 機(jī)器學(xué)習(xí)模塊辨識(shí)操作后的特征辨識(shí)結(jié)果����,W減少終端裝置需額外配置大量的儲(chǔ)存空間����, 進(jìn)而降低生產(chǎn)成本并提高其應(yīng)用范圍。
[0074] W上所述僅為本發(fā)明的較佳實(shí)施例����,凡依本發(fā)明申請(qǐng)專(zhuān)利范圍所做的均等變化與 修飾,皆應(yīng)屬本發(fā)明的涵蓋范圍����。
【主權(quán)項(xiàng)】
1. 一種保護(hù)方法,用以解除一惡意軟件于一終端裝置的攻擊���,其特征在于�����,該保護(hù)方法 包含: 接收一觀測(cè)數(shù)據(jù)�,其中該觀測(cè)數(shù)據(jù)包含有一未辨識(shí)數(shù)據(jù)與一已辨識(shí)數(shù)據(jù)中至少之一�����; 根據(jù)一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊,轉(zhuǎn)換該觀測(cè)數(shù)據(jù)為一第一對(duì)應(yīng)數(shù)據(jù)�; 根據(jù)一引導(dǎo)機(jī)器學(xué)習(xí)模塊,切分該第一對(duì)應(yīng)數(shù)據(jù)為一第二對(duì)應(yīng)數(shù)據(jù)��,并提供該第二對(duì) 應(yīng)數(shù)據(jù)至一機(jī)器學(xué)習(xí)模塊����; 該機(jī)器學(xué)習(xí)模塊接收一輸入數(shù)據(jù),且根據(jù)一特征模式數(shù)據(jù)庫(kù)處理該輸入數(shù)據(jù)���,以產(chǎn)生 一特征辨識(shí)結(jié)果���;以及 傳輸該特征辨識(shí)結(jié)果至該終端裝置。2. 如權(quán)利要求1所述的保護(hù)方法��,其特征在于�����,其中該輸入數(shù)據(jù)來(lái)自一可運(yùn)算裝置��、一 遠(yuǎn)端儲(chǔ)存裝置�����、一應(yīng)用程序或一網(wǎng)絡(luò)數(shù)據(jù)所對(duì)應(yīng)的一操作或一數(shù)據(jù)���,而該觀測(cè)數(shù)據(jù)為該輸 入數(shù)據(jù)所對(duì)應(yīng)的該操作或該數(shù)據(jù)����。3. 如權(quán)利要求1所述的保護(hù)方法�,其特征在于,其中該轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊根據(jù)一可辨 識(shí)特征數(shù)據(jù)�,以將該觀測(cè)數(shù)據(jù)分類(lèi)對(duì)應(yīng)至多個(gè)群組數(shù)據(jù)來(lái)形成該第一對(duì)應(yīng)數(shù)據(jù),其中每一 該群組數(shù)據(jù)對(duì)應(yīng)為一特征群聚��。4. 如權(quán)利要求3所述的保護(hù)方法��,其特征在于�����,其中該引導(dǎo)機(jī)器學(xué)習(xí)模塊接收該第一 對(duì)應(yīng)數(shù)據(jù)�,且區(qū)分每一該特征群聚為多個(gè)特征子群聚,以將對(duì)應(yīng)后的每一群組數(shù)據(jù)的該觀 測(cè)數(shù)據(jù)對(duì)應(yīng)至該多個(gè)特征子群聚�,進(jìn)而得到該多組群組數(shù)據(jù)中該未辨識(shí)數(shù)據(jù)與該已辨識(shí)數(shù) 據(jù)中至少之一對(duì)應(yīng)至該多個(gè)特征子群聚的對(duì)應(yīng)結(jié)果且形成該第二對(duì)應(yīng)數(shù)據(jù)。5. 如權(quán)利要求4所述的保護(hù)方法�,其特征在于,其中該第二對(duì)應(yīng)數(shù)據(jù)用來(lái)更新該機(jī)器 學(xué)習(xí)模塊的該特征模式數(shù)據(jù)庫(kù)����,其中該特征模式數(shù)據(jù)庫(kù)包含有多個(gè)特征模式數(shù)據(jù)����,而每一 特征模式數(shù)據(jù)為一已辨識(shí)數(shù)據(jù)對(duì)應(yīng)至一特征子群聚的對(duì)應(yīng)結(jié)果��。6. 如權(quán)利要求5所述的保護(hù)方法�,其特征在于,其中該機(jī)器學(xué)習(xí)模塊進(jìn)行該多個(gè)特征 模式數(shù)據(jù)與該輸入數(shù)據(jù)的一辨識(shí)操作�����,以產(chǎn)生該特征辨識(shí)結(jié)果,進(jìn)而進(jìn)行該終端裝置的保 護(hù)操作。7. 如權(quán)利要求6所述的保護(hù)方法����,其特征在于�����,其還包含進(jìn)行一半監(jiān)督特征學(xué)習(xí)操作, 來(lái)判斷該多個(gè)特征模式數(shù)據(jù)與該輸入數(shù)據(jù)間是否包含有相同的至少一可辨識(shí)特征數(shù)據(jù)����,且 當(dāng)該多個(gè)特征模式數(shù)據(jù)與該輸入數(shù)據(jù)間包含有相同的至少一可辨識(shí)特征數(shù)據(jù)時(shí)�����,將該至少 一可辨識(shí)特征數(shù)據(jù)與其所對(duì)應(yīng)的一治愈數(shù)據(jù)作為該特征辨識(shí)結(jié)果��,以傳輸該特征辨識(shí)結(jié)果 至該終端裝置來(lái)進(jìn)行該保護(hù)操作�����,其中��,該可辨識(shí)特征數(shù)據(jù)對(duì)應(yīng)為一電子檔案的結(jié)構(gòu)特征����。8. 如權(quán)利要求7所述的保護(hù)方法����,其特征在于,其中若該多個(gè)特征模式數(shù)據(jù)與該輸入 數(shù)據(jù)間未包含有相同的至少一可辨識(shí)特征數(shù)據(jù)時(shí)�,還進(jìn)行一相似核心操作,以產(chǎn)生一處方 性分析結(jié)果或一認(rèn)知性分析結(jié)果為該特征辨識(shí)結(jié)果����,進(jìn)而傳輸該特征辨識(shí)結(jié)果至該終端裝 置來(lái)執(zhí)行該保護(hù)操作。9. 一種電腦系統(tǒng),耦接一終端裝置�����,并用以解除一惡意軟件于該終端裝置的攻擊���,其特 征在于����,該電腦系統(tǒng)包含: 一中央處理器�����;以及 一儲(chǔ)存裝置�,耦接于該中央處理器,并儲(chǔ)存有一程序碼�,該程序碼用來(lái)進(jìn)行一保護(hù)方 法,該保護(hù)方法包含: 接收一觀測(cè)數(shù)據(jù)����,其中該觀測(cè)數(shù)據(jù)包含有一未辨識(shí)數(shù)據(jù)與一已辨識(shí)數(shù)據(jù)中至少之一; 根據(jù)一轉(zhuǎn)導(dǎo)機(jī)器學(xué)習(xí)模塊��,轉(zhuǎn)換該觀測(cè)數(shù)據(jù)為一第一對(duì)應(yīng)數(shù)據(jù)���; 根據(jù)一引導(dǎo)機(jī)器學(xué)習(xí)模塊����,切分該第一對(duì)應(yīng)數(shù)據(jù)為一第二對(duì)應(yīng)數(shù)據(jù)�,并提供該第二對(duì) 應(yīng)數(shù)據(jù)至一機(jī)器學(xué)習(xí)模塊; 該機(jī)器學(xué)習(xí)模塊接收一輸入數(shù)據(jù)��,且根據(jù)一特征模式數(shù)據(jù)庫(kù)處理該輸入數(shù)據(jù)���,以產(chǎn)生 一特征辨識(shí)結(jié)果��;以及 傳輸該特征辨識(shí)結(jié)果至該終端裝置��。10. 如權(quán)利要求9所述的電腦系統(tǒng)�����,其特征在于�,其中該輸入數(shù)據(jù)來(lái)自一可運(yùn)算裝置����、 一遠(yuǎn)端儲(chǔ)存裝置、一應(yīng)用程序或一網(wǎng)絡(luò)數(shù)據(jù)所對(duì)應(yīng)的一操作或一數(shù)據(jù)�����,而該觀測(cè)數(shù)據(jù)為該 輸入數(shù)據(jù)所對(duì)應(yīng)的該操作或該數(shù)據(jù)。11. 如權(quán)利要求9所述的電腦系統(tǒng)���,其特征在于�,其中該保護(hù)方法還包含該轉(zhuǎn)導(dǎo)機(jī)器學(xué) 習(xí)模塊根據(jù)一可辨識(shí)特征數(shù)據(jù)����,以將該觀測(cè)數(shù)據(jù)分類(lèi)對(duì)應(yīng)至多個(gè)群組數(shù)據(jù)來(lái)形成該第一對(duì) 應(yīng)數(shù)據(jù),其中每一該群組數(shù)據(jù)對(duì)應(yīng)為一特征群聚��。12. 如權(quán)利要求11所述的電腦系統(tǒng)��,其特征在于���,其中該保護(hù)方法還包含該引導(dǎo)機(jī)器 學(xué)習(xí)模塊接收該第一對(duì)應(yīng)數(shù)據(jù)�,且區(qū)分每一該特征群聚為多個(gè)特征子群聚��,以將對(duì)應(yīng)后的 每一群組數(shù)據(jù)的該觀測(cè)數(shù)據(jù)對(duì)應(yīng)至該多個(gè)特征子群聚�,進(jìn)而得到該多組群組數(shù)據(jù)中該未辨 識(shí)數(shù)據(jù)與該已辨識(shí)數(shù)據(jù)中至少之一對(duì)應(yīng)至該多個(gè)特征子群聚的對(duì)應(yīng)結(jié)果且形成該第二對(duì) 應(yīng)數(shù)據(jù)。13. 如權(quán)利要求12所述的電腦系統(tǒng)��,其特征在于����,其中該保護(hù)方法還包含利用該第二 對(duì)應(yīng)數(shù)據(jù)來(lái)更新該機(jī)器學(xué)習(xí)模塊的一特征模式數(shù)據(jù)庫(kù)�����,其中,該特征模式數(shù)據(jù)庫(kù)包含有多 個(gè)特征模式數(shù)據(jù)�,而每一特征模式數(shù)據(jù)為一已辨識(shí)數(shù)據(jù)對(duì)應(yīng)至一特征子群聚的對(duì)應(yīng)結(jié)果。14. 如權(quán)利要求13所述的電腦系統(tǒng)�,其特征在于,其中該保護(hù)方法還包含該機(jī)器學(xué)習(xí) 模塊進(jìn)行該多個(gè)特征模式數(shù)據(jù)與該輸入數(shù)據(jù)的一辨識(shí)操作�����,以產(chǎn)生該特征辨識(shí)結(jié)果�����,進(jìn)而 進(jìn)行該終端裝置的保護(hù)操作����。15. 如權(quán)利要求14所述的電腦系統(tǒng),其特征在于���,其中該保護(hù)方法還包含進(jìn)行一半監(jiān) 督特征學(xué)習(xí)操作���,來(lái)判斷該多個(gè)特征模式數(shù)據(jù)與該輸入數(shù)據(jù)間是否包含有相同的至少一可 辨識(shí)特征數(shù)據(jù)���,且當(dāng)該多個(gè)特征模式數(shù)據(jù)與該輸入數(shù)據(jù)間包含有相同的至少一可辨識(shí)特征 數(shù)據(jù)時(shí),將該至少一可辨識(shí)特征數(shù)據(jù)與其所對(duì)應(yīng)的一治愈數(shù)據(jù)作為該特征辨識(shí)結(jié)果�,以傳 輸該特征辨識(shí)結(jié)果至該終端裝置來(lái)進(jìn)行該保護(hù)操作,其中�����,該可辨識(shí)特征數(shù)據(jù)對(duì)應(yīng)為一電 子檔案的結(jié)構(gòu)特征�。16. 如權(quán)利要求15所述的電腦系統(tǒng),其特征在于����,其中該保護(hù)方法還包含若該多個(gè)特 征模式數(shù)據(jù)與該輸入數(shù)據(jù)間未包含有相同的至少一可辨識(shí)特征數(shù)據(jù)時(shí),進(jìn)行一相似核心操 作�,以產(chǎn)生一處方性分析結(jié)果或一認(rèn)知性分析結(jié)果為該特征辨識(shí)結(jié)果,進(jìn)而傳輸該特征辨 識(shí)結(jié)果至該終端裝置來(lái)執(zhí)行該保護(hù)操作�。
【文檔編號(hào)】G06F21/56GK105989285SQ201510093091
【公開(kāi)日】2016年10月5日
【申請(qǐng)日】2015年3月2日
【發(fā)明人】陳志明
【申請(qǐng)人】緯創(chuàng)資通股份有限公司