保护方法与其电脑系统的制作方法

文档序号:10618246阅读:328来源:国知局
保护方法与其电脑系统的制作方法
【专利摘要】本发明公开一种保护方法与其电脑系统,用以解除免于恶意软件于终端装置的攻击,该保护方法包含接收观测数据,其中该观测数据包含有未辨识数据与已辨识数据中至少之一;根据转导机器学习模块,转换该观测数据为第一对应数据;根据引导机器学习模块,切分该第一对应数据为第二对应数据,并提供该第二对应数据至机器学习模块;该机器学习模块接收输入数据,且根据特征模式数据库处理该输入数据,以产生特征辨识结果;以及传输该特征辨识结果至该终端装置。本发明根据电脑系统中机器学习模块的辨识操作来对应接收特征辨识结果,以进行相关的扫毒操作,相较于熟知技术的终端装置仍须安装或预存有数据量庞大的病毒辨识数据库,硬件限制已大幅下降。
【专利说明】
保护方法与其电脑系统
技术领域
[0001] 本发明设及一种保护方法与其电脑系统,尤指一种保护终端装置免于一恶意软件 攻击的保护方法与其电脑系统。
【背景技术】
[0002] 随着网际网络的快速发展,一般人网络信息的倚赖程度越来越普遍,随之而来的 恶意软件如电脑病毒、间碟软件、广告软件或垃圾邮件等,皆可打开口户地通过网际网络的 路径,入侵或攻击一般人所使用的电脑系统或行动装置,或像是其他W连接网络并执行应 用程序APP的电子装置(如智能手表),病毒软件恶意破坏上述电子装置的软、硬件功能,更 甚者窃取其中的重要信息。
[0003] 为了建立电脑系统或行动装置的保护措施,通常W安装防毒软件来辨识与隔离任 何潜在的恶意软件。传统上,病毒辨识数据库的更新与配置需通过人为操作,逐一比对该些 病毒辨识是否与目前数据库内的数据吻合,并合理地推测出潜在病毒辨识的样态,进而提 供电脑系统或行动装置的使用者最有效且即时性的保护措施。然而,由于恶意软件所对应 的程序码必然与时俱变,使得电脑系统或行动装置的防毒软件必须随时进行更新W下载最 新的病毒辨识数据库,但病毒辨识数据库中的资料数据往往过于庞大,加上人为操作的更 新速度无法跟上恶意软件程序码的演变,而不利于所有电脑系统或行动装置的保护操作, 另外在一般电子装置中,因不具有储存大量病毒信息的存储空间,而导致中毒之后无法解 决的困扰。
[0004] 因此,提供另一种保护终端装置的保护方法与其电脑系统,来避免终端装置受恶 意软件的攻击,已成为本领域的重要课题。

【发明内容】
阳〇化]因此,本发明的主要目的即在于提供一种保护终端装置的保护方法与其电脑系 统,来避免终端装置受恶意软件的攻击。
[0006] 本发明掲露一种保护方法,用W解除一恶意软件于一终端装置的攻击,该保护方 法包含取得一观测数据,其中该观测数据包含有一未辨识数据与一已辨识数据中至少之 一;根据一转导机器学习模块,转换该观测数据为一第一对应数据;根据一引导机器学习 模块,切分该第一对应数据为一第二对应数据,并提供该第二对应数据至一机器学习模块; 该机器学习模块接收一输入数据,且根据一特征模式数据库处理该输入数据,W产生一特 征辨识结果;W及传输该特征辨识结果至该终端装置。
[0007] 本发明另掲露一种电脑系统,禪接一终端装置,并用W解除一恶意软件于该终端 装置的攻击,该电脑系统包含一中央处理器;W及一储存装置,禪接于该中央处理器,并储 存有一程序码,该程序码用来进行一保护方法,该保护方法包含接收一观测数据,其中该观 测数据包含有一未辨识数据与一已辨识数据中至少之一;根据一转导机器学习模块,转换 该观测数据为一第一对应数据;根据一引导机器学习模块,切分该第一对应数据为一第二 对应数据,并提供该第二对应数据至一机器学习模块;该机器学习模块接收一输入数据,且 根据一特征模式数据库处理该输入数据,W产生一特征辨识结果;W及传输该特征辨识结 果至该终端装置。
[0008] 本发明另掲露一种电脑系统,禪接一终端装置,并用W解除一恶意软件于该终端 装置的攻击,该电脑系统包含一中央处理器;该中央处理器包括:
[0009] 接收模块,接收一观测数据,其中该观测数据包含有一未辨识数据与一已辨识数 据中至少之一;
[0010] 转换模块,根据一转导机器学习模块,转换该观测数据为一第一对应数据;
[0011] 切分模块,根据一引导机器学习模块,切分该第一对应数据为一第二对应数据,并 提供该第二对应数据至一机器学习模块;
[0012] 所述机器学习模块,接收一输入数据,且根据一特征模式数据库处理该输入数据, W产生一特征辨识结果;W及
[0013] 传输模块,传输该特征辨识结果至该终端装置。
[0014] 本发明使终端装置并非直接储存或预设有特征模式数据库,而是根据电脑系统中 机器学习模块的辨识操作来对应接收特征辨识结果,W进行相关的扫毒操作,相较于熟知 技术的终端装置仍须安装或预存有数据量庞大的病毒辨识数据库,本发明的终端装置的硬 件限制已大幅下降。此外,由于本发明还利用转导机器学习模块W及引导机器学习模块的 两阶段训练与学习操作,来动态地更新特征模式数据库,相较于熟知技术仍须使用大量人 力、时间成本来进行潜在片段病毒特征数据的辨识操作或更新服务,本发明的两阶段训练 与学习操作确实已可提高各种类型恶意软件的辨识效率,而增进终端装置使用者的操作便 利和应用范围。
【附图说明】
[0015] 图1为本发明实施例一电脑系统禪接一终端装置的示意图。
[0016] 图2为本发明实施例一保护流程的流程图。
[0017] 图3为本发明实施例一特征模式数据树状图的示意图。
[0018] 图4为本发明实施例一辨识流程的流程图。
[0019] 图5为本发明实施例一转导机器学习模块与一引导机器学习模块的结果示意图。
[0020] 其中,附图标记说明如下:
[0021] 10 电脑系统 阳〇2引 100 中央处理器 阳〇2引 102 储存装置
[0024] 104 机器学习模块 阳02引 12 终端装置
[0026] 20 保护流程
[0027] 200、202、204、206、208、210、步骤 212、400、402、404、406
[0028] 30 特征模式数据树状图
[0029] 300 支干
[0030] 40 辨识流程 阳〇3U G_1 群组数据
[0032] 0b_l~0b_3 观测数据 阳03;3] V_1 电脑病毒
[0034] V_l_l~V_l_3 特定电脑病毒种类
[0035] Offset 1 ~Offset? 偏移量
[0036] Token A ~Token F 标志
[0037] Script 1 ~Script 3 治愈数据
【具体实施方式】
[0038] 在说明书及后续的权利要求书当中使用了某些词汇来指称特定的元件。本领域技 术人员应可理解,制造商可能会用不同的名词来称呼同样的元件。本说明书及后续的权利 要求书并不W名称的差异来作为区别元件的方式,而是W元件在功能上的差异来作为区别 的基准。在通篇说明书及后续的权利要求当中所提及的"包含"为一开放式的用语,故应解 释成"包含但不限定于"。此外,"禪接"一词在此包含任何直接及间接的电气连接手段。因 此,若文中描述一第一装置禪接于一第二装置,则代表该第一装置可直接连接于该第二装 置,或通过其他装置或连接手段间接地连接至该第二装置。
[0039] 请参考图1,图1为本发明实施例的一电脑系统10禪接一终端装置12的示意图。 如图1所示,本实施例的电脑系统10基本架构包含如主机板、处理器、存储器、硬盘、南桥 模块、北桥模块等,其应是本领域所熟知,为求简洁,图1仅示出电脑系统10的中央处理器 100、储存装置102与机器学习模块104。储存装置102可W是只读存储器、快闪存储器、软 盘、硬盘、光盘、随身盘、磁带、可由网络存取的数据库,或是本领域技术人员所熟知的任何 其它储存媒体等,用W储存一程序码,中央处理器100可执行程序码来进终端装置12所适 用的一保护方法,而机器学习模块104禪接中央处理器100与储存装置102,并通过保护方 法来产生一病毒特征辨识结果且传输至终端装置12, W解除或避免终端装置12遭受一恶 意软件(如电脑病毒、间碟软件、广告软件或垃圾邮件等)的攻击或入侵。当然,本实施例直 接示出电脑系统10中的机器学习模块104,来清楚标示本发明的主要技术特征,于其他实 施例中机器学习模块104的软硬件操作机制,亦可由本实施例的中央处理器100与储存装 置102彼此相互整合来提供相对应的软硬件操作而取代的,非用W限制本发明的范畴。再 者,本实施例的电脑系统10于储存装置102中储存有一转导机器学习模块(Trans化ctive machine learning)与一引导机器学习模块(Inductive machine learning)所对应的另 一程序码,且可通过中央处理器100的控制,进行另一训练与学习操作,当然,本实施例中 转导机器学习模块与引导机器学习模块所对应的程序码亦可独立成为另一机器学习模块 (未显示于图1中),且禪接中央处理器100与储存装置102,而非用W限制本发明的范畴。
[0040] 于本实施例中,电脑系统10与终端装置12之间的传输方式可为一有线传输或一 无线传输,非用W限制本发明的范畴。至于终端装置12的实施态样例如可为另一电脑系 统、一行动装置(如手机、平板、个人行动秘书装置)、一笔记本电脑、一智能手表、一可运算 携带式电子产品或一多媒体电子装置等,当然,本实施例中的终端装置12亦可和电脑系统 10间相互整合,来形成单一电脑系统10,此亦属于本发明的范畴之一。
[0041] 进一步,本实施例终端装置12所适用的保护方法可归纳为一保护流程20,且被编 译为程序码而储存于储存装置102中,如图2所示,保护流程20包含w下步骤。
[00创步骤200:开始。 阳0创步骤202 :电脑系统10接收一观测数据。
[0044] 步骤204 :电脑系统10根据转导机器学习模块,转换观测数据为一第一对应数据。
[0045] 步骤206 :电脑系统10根据引导机器学习模块,切分第一对应数据为一第二对应 数据,并提供第二对应数据至机器学习模块104。
[0046] 步骤208 :机器学习模块104接收一输入数据,且根据一特征模式数据库处理输入 数据,W产生一特征辨识结果。
[0047] 步骤210 :传输特征辨识结果至终端装置12。 W4引步骤212:结束。
[0049] 于步骤202中,本实施例中的电脑系统10适当地接收来自一可运算装置、一远端 储存装置、一应用程序或一网络数据所对应的一操作或一数据,例如传输/夹带的电子档 案、安装一特定程序的操作或开启一网页数据的浏览操作,并将该些操作或数据中至少之 一当作本实施例的观测数据,进而从该些观测数据中检测是否有存在最新或潜在的病毒特 征数据。较佳地,本实施例的观测数据中包含有一未辨识数据与一已辨识数据中至少之一, 其中已辨识数据是该笔数据所携带的至少一片段病毒特征数据已可被辨识,而未辨识数据 是该笔数据所携带的片段病毒特征数据仍未可被辨识。
[0050] 于步骤204中,本实施例中的电脑系统10根据转导机器学习模块所对应的程序码 的操作,转换观测数据来形成第一对应数据。较佳地,若观测数据有潜在的片段病毒特征数 据,于电脑系统10接收至少一未辨识数据和/或已辨识数据后,转导机器学习模块可对应 判断是否存在有不同种类的恶意软件,W将观测数据进行一初步分类,进而产生第一对应 数据。
[0051] 举例来说,本实施例可包含有恶意软件¥_1~V_4等四种,且不同恶意软件间具 备有不同的一可辨识特征数据来分别代表电脑病毒v_l、一间碟软件v_2、一广告软件V_3 或一垃圾邮件V_4,在此情况下,本实施例的转导机器学习模块参考观测数据化_1~化_N 每一个所包含的可辨识特征数据,W将观测数据化_1~化_N分为不同的群组数据G_1~ G_4。其中,每一群组数据被视为一特征群聚(1油eled cluster)且包含有相同的可辨识特 征数据,而本实施例中的群组数据G_1~G_4例如依序为一电脑病毒V_1、一间碟软件V_2、 一广告软件V_3或一垃圾邮件V_4等,非用W限制本发明的范畴。至于观测数据化_1~ ^_N对应至群组数据G_1~G_4的对应结果,则为本实施例中的第一对应数据。因此,本实 施例的转导机器学习模块判断每一观测数据(包含至少一未辨识数据和/或已辨识数据) 是否属于相同的恶意软件,并将其对应结果传输至引导机器学习模块,来做为引导机器学 习模块的输入数据。
[0052] 于步骤206中,电脑系统10根据引导机器学习模块所对应的程序码的操作,转换 第一对应数据来形成第二对应数据,并传输第二对应数据至机器学习模块104。较佳地,本 实施例中的引导机器学习模块可将每一特征群聚再分类为多个特征子群聚,W将初步对应 后的观测数据(包含未辨识数据与已辨识数据中至少之一)对应至多个特征子群聚,进而 产生第二对应数据。
[0053] 举例来说,本实施例的引导机器学习模块可将每一群组数据如G_1所对应的电脑 病毒v_l分类为不同型号、版本或编码的单一特定恶意软件种类如v_l_l~v_l_n,W将归 类为群组数据G_1的所有观测数据(即相同种类的恶意软件)再细分为不同的特定恶意软 件种类,进而得到每一群组数据(包含至少一未辨识数据和/或已辨识数据)对应至单一 特征群聚中所有特征子群聚的对应结果,且形成第二对应数据来传输至机器学习模块104。 因此,本实施例的引导机器学习模块可将专属不同恶意软件的观测数据(包含至少一未辨 识数据和/或已辨识数据)再分类为不同型号、版本或编码的单一特定恶意软件种类,并将 其对应结果传输至机器学习模块104,来提供机器学习模块104的相关更新操作。
[0054] 较佳地,本实施例电脑系统10的机器学习模块104还包含有特征模式数据库,且 特征模式数据库预设有多个特征模式数据,而每一特征模式数据为进行保护流程20之前 已成功对应至一特征子群聚的已辨识数据(即已辨识数据对应至一特征子群聚的对应结 果),且该些特征模式数据可用来辨识潜在的片段病毒特征数据。据此,本实施例的机器学 习模块104利用观测数据(包含至少一未辨识数据和/或已辨识数据),并适应性地通过 转导机器学习模块W及引导机器学习模块的两阶段操作,W完成针对每一笔观测数据的有 效率且精准的学习与训练操作,进而将潜在的片段病毒特征数据与其对应至多个特定恶意 软件种类的对应结果(即第二对应数据)传输至机器学习模块104,使得机器学习模块104 的特征模式数据库可动态/即时地进行更新操作,相较于熟知技术,本实施例所提供的转 导机器学习模块W及引导机器学习模块的训练与学习操作,已无需通过人力操作来更新或 配置特征模式数据库中的庞大数据量,对应提高辨识各种类型的恶意软件的处理效率。
[0055] 换言之,本实施例中的机器学习模块104可即时进行特征模式数据库的更新操 作,同时对应储存该些对应结果(即第二对应数据)。据此,于步骤208中,当机器学习模 块104接收输入数据后,机器学习模块104将进行输入数据与特征模式数据库所储存的对 应结果间的一辨识操作,W产生特征辨识结果,且于步骤210中,传输特征辨识结果至终端 装置12,进而提供终端装置12处理不同恶意软件的适应性保护操作。较佳地,本实施例的 输入数据为电脑系统10接收来自可运算装置、远端储存装置、应用程序或网络数据等所对 应的操作或数据,来代表各类型潜在的恶意软件。至于本实施例所用的辨识操作,可理解为 一分散(Separation)流程,例如通过一合并特征方程式(Joint feature function),于输 入数据与特征模式数据库所储存的对应结果间进行比对,来判断该些输入数据中有潜伏的 恶意软件。
[0056] 值得注意地,为了避免恶意软件会轻易地被终端装置的防毒软件所侦测,恶意软 件的设计者常将恶意软件的本体分解成多个子体,且安插于一或多个电子档案内的多个位 元位置,而本实施例将通过特征模式数据库中的一或多个特征模式数据树状图,来辨识恶 意软件的本体和/或本体的多个子体。请参考图3,图3为本发明实施例一特征模式数据树 状图30的示意图。如图3所示,本实施例的特征模式数据树状图30包含有多个可辨识特 征数据,如图3中所圈示的一支干300,同时,支干300可代表一电子档案的结构特征,并标 示有恶意软件的多个子体的所在位置。其中,每一支干皆包含有多个标志(token)来代表 单一子体,每一子体间可串接形成一线状实施态样,每两个标志间的连接线为该些标志安 插于电子档案内所代表的偏移量(Offset),且每一可辨识特征数据末端的标志还禪接一治 愈数据(script)。一旦恶意软件的本体和/或多个子体已被辨识时,治愈数据可对应进行 终端装置12的扫毒操作,例如删除或隔离该些可辨识特征数据,来免除恶意软件对终端装 置12的入侵或攻击。
[0057] 详细来说,于辨识操作下,本实施例将进行一半监督特征学习(Semi-supervised struc化red learning)操作,其将定义合并特征方程式为Φ (X, y),其中X代表一训练后数 据,而y代表一候选预测值,两者是通过Φ (X,y)对应至一向量,而该向量具有一长度n,且 η值根据不同训练模块而有不同,同时本实施例还定义另一方程式GEN来产生该候选预测 值,并预设长度η对应一权重向量W,W及预设一递回操作的次数。据此,本实施利将进行 歹二a巧max{y £ G£W(;〇}(wr〇〇,3/:))的递回操作,且随者时间t的演化适当更新 权重向量W的值,即进巧W二W + c(-0(x,巧+巧(x/t))之的操作,其中C代表一学习 比率。据此,递回操作结束后,本实施例所得的候选预测值可判断输入数据与特征模式数据 库所储存的对应结果间是否存在有相同的至少一可辨识特征数据。
[0058] 于本实施例中,完成半监督特征学习操作后,且机器学习模块104判断多个特征 模式数据与输入数据间包含有相同的至少一可辨识特征数据时(即输入数据中包含或携 带有潜在的恶意软件),本实施例的机器学习模块104将至少一可辨识特征数据与其所禪 接的治愈数据作为特征辨识结果,并将特征辨识结果传输至终端装置12来进行其保护操 作。较佳地,本实施例的电脑系统10可为一终端伺服器,且经由一有线传输或一无线传输 来传送特征辨识结果(包含至少一可辨识特征数据与其禪接的治愈数据)至终端装置12, W进行终端装置的扫毒操作来删除或隔离恶意软件的本体或多个子体,进而免除终端装置 12恐遭恶意软件的入侵或攻击。
[0059] 于另一实施例中,一旦判断多个特征模式数据与输入数据间并未包含有相同的至 少一可辨识特征数据时,本实施例将还进行一相似核屯、(Similarity kernels)操作,W产 生一处方性分析(Prescriptive anal}ftics)结果或一认知性分析(Co即itive anal}ftics) 结果来作为特征辨识结果,并传输特征辨识结果至终端装置12来执行其保护操作。 W60] 举例来说,于相似核屯、操作下,本实施例将定义一打分方程式(Scoring 化nction)为F: X X ? hV股,其中X代表一输入数据,而y代表特征模式数据库所储存的 对应结果,并进行夕ar巧maXyey(A(y,.,y) +ννΤψ(χ,.,y))之的操作,或通过Mercer kernel 的操作如 Κ((Χι,心,(Xj,yj)) = < I Ψ (Xi,yi),Ψ (Xj,tj) I〉W取得本实施例的打分 方程式为
[0061]
同时还 结合於二α巧maXyey(A(斯y) + F0,的)之的操作,来表达最有可能的潜在恶 意软件的组合为歹二(兄,历)。另夕F,本实施例还利用K奶),(兮巧))= X;;) · Ω{;於,y;;斬鸣;).之的操作,来预测潜在的恶意软件的来源或种类,其中 Λ (Χι,Χ,)代表输入数据的相似度,而Ω (yi,y,)代表特征模式数据库中不同可辨识特征数 据的相似度。
[0062] 再者,本实施例还选用Gaussian kernel Λ来表示输入数据之间的距离或离散程 度,旨[
并选用η = 4来表 示输入数据为可运算装置、远端储存装置、应用程序或网络数据等四种来源处所对应的各 种操作或数据。此外,本实施例还通过
:之的操 作来表示一特定可辨识特征数据的相似度,其中包含有潜在恶意软件的Ξ种核屯、计算值, 分别为Node kernel来代表位置(position)、Token kernel来代表特征(si即ature) W及 Script kernel来代表治愈数据(script)。
[0063] 在此情况下,当取得相似核屯、操作的辨识结果,且查觉输入数据中存在潜伏的恶 意软件的本体或多个子体中之一时,本实施例的机器学习模块104将适当提供处方性分析 结果至终端装置12,其中处方性分析结果包含有一或多种可选择的扫毒方式,且可告知/ 建议终端装置使用者多种选择/手段,W删除或隔离夹带恶意软件的本体和/或多个子体 的电子档案(即该些潜在的片段病毒特征数据)。或者,本实施例的机器学习模块104另可 提供认知性分析结果,来告知终端装置使用者,目前终端装置12正遭受某一特定恶意软件 的攻击或入侵,而应采用该某一特定恶意软件所对应的特定扫毒操作,W预防性地清除或 隔离该某一特定恶意软件的入侵或攻击,进而避免终端装置12发生无法正常运作或档案 损坏的情形。
[0064] 进一步,于步骤208中机器学习模块104所适用的辨识操作,还可被归纳为一辨识 流程40,且被编译为程序码而储存于储存装置102中,如图4所示,辨识流程40包含W下步 骤。 W65] 步骤400:开始。
[0066] 步骤402 :通过半监督特征学习操作,W判断输入数据与特征模式数据库所储存 的对应结果间是否存在有相同的至少一可辨识特征数据。若两者存在相同的可辨识特征数 据,进行步骤404,否则进行步骤406。
[0067] 步骤404 :机器学习模块104传输特征辨识结果至终端装置12来进行其保护操 作。 W側步骤406 :再通过相似核屯、操作,W对应产生处方性分析结果或认知性分析结果 来执行终端装置12的保护操作。
[0069] 由于图4所示辨识流程40的相关操作已于步骤208与步骤210的相关段落进行 说明,为避免不必要的寶述,在此仅简单图示辨识流程40来进行说明。
[0070] 简言之,本实施例中的终端装置12并非直接储存或预设有特征模式数据库,而是 根据电脑系统10中机器学习模块104的辨识操作来对应接收特征辨识结果,W进行相关的 扫毒操作,相较于熟知技术的终端装置仍须安装或预存有数据量庞大的病毒辨识数据库, 本实施例所提供的终端装置12的硬件限制已大幅下降。此外,由于本实施例还利用转导机 器学习模块W及引导机器学习模块的两阶段训练与学习操作,来动态地更新特征模式数据 库,相较于熟知技术仍须使用大量人力、时间成本来进行潜在片段病毒特征数据的辨识操 作或更新服务,本实施例的两阶段训练与学习操作确实已可提高各种类型恶意软件的辨识 效率,而增进终端装置使用者的操作便利和应用范围。
[0071] 值得注意地,本实施例并未限制电脑系统10与终端装置12间的沟通与时机,使得 本实施例的输入数据可由电脑系统10与终端装置12中任一方取得,并经电脑系统10的机 器学习模块104的操作后,对应取得不同输入数据的相关保护方法,W利于终端装置12来 进行各类型恶意软件的扫毒操作。当然,本领域技术人员亦可加入不同的传输加解密操作 或认证机制等,W搭配有本实施例中电脑系统10与终端装置12间的传输操作,而非用W限 制本发明的范畴。
[0072] 此外,请再参考图5,图5为本发明实施例一转导机器学习模块与一引导机器学习 模块的结果示意图,其中,图5左边为转导机器学习模块的结果示意图,图中仅列出单一已 被分类为相同群组数据G_l,且包含有观测数据化_1~化_3,同时群组数据G_1对应为恶 意软件中之一如电脑病毒V_l。另外,图5右边为引导机器学习模块的结果示意图,根据图 5左边所示的对应结果,观测数据化_1~化_3还被操作来分别对应为电脑病毒V_1中特定 电脑病毒种类如V_l_l~V_l_3。虽然图5的实施例仅为示范性说明,转导机器学习模块与 引导机器学习模块如何分别得到第一对应数据与第二对应数据,当然,本领域技术人员还 可适当地结合或修改其他训练与学习机器的设计模型,W实现本实施例中两阶段或多阶段 的受训与学习操作,进而提供更精准的对应结果来动态更新特征模式数据库,此亦属于本 发明的范畴。
[0073] 综上所述,本发明实施例提供一种包含有机器学习模块的电脑系统,可接收经由 转导机器学习模块与引导机器学习模块的受训数据,来适当且即时地更新机器学习模块的 特征模式数据库;此外,本实施例的终端装置不储存特征模式数据库的庞大数据,而仅接收 机器学习模块辨识操作后的特征辨识结果,W减少终端装置需额外配置大量的储存空间, 进而降低生产成本并提高其应用范围。
[0074] W上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与 修饰,皆应属本发明的涵盖范围。
【主权项】
1. 一种保护方法,用以解除一恶意软件于一终端装置的攻击,其特征在于,该保护方法 包含: 接收一观测数据,其中该观测数据包含有一未辨识数据与一已辨识数据中至少之一; 根据一转导机器学习模块,转换该观测数据为一第一对应数据; 根据一引导机器学习模块,切分该第一对应数据为一第二对应数据,并提供该第二对 应数据至一机器学习模块; 该机器学习模块接收一输入数据,且根据一特征模式数据库处理该输入数据,以产生 一特征辨识结果;以及 传输该特征辨识结果至该终端装置。2. 如权利要求1所述的保护方法,其特征在于,其中该输入数据来自一可运算装置、一 远端储存装置、一应用程序或一网络数据所对应的一操作或一数据,而该观测数据为该输 入数据所对应的该操作或该数据。3. 如权利要求1所述的保护方法,其特征在于,其中该转导机器学习模块根据一可辨 识特征数据,以将该观测数据分类对应至多个群组数据来形成该第一对应数据,其中每一 该群组数据对应为一特征群聚。4. 如权利要求3所述的保护方法,其特征在于,其中该引导机器学习模块接收该第一 对应数据,且区分每一该特征群聚为多个特征子群聚,以将对应后的每一群组数据的该观 测数据对应至该多个特征子群聚,进而得到该多组群组数据中该未辨识数据与该已辨识数 据中至少之一对应至该多个特征子群聚的对应结果且形成该第二对应数据。5. 如权利要求4所述的保护方法,其特征在于,其中该第二对应数据用来更新该机器 学习模块的该特征模式数据库,其中该特征模式数据库包含有多个特征模式数据,而每一 特征模式数据为一已辨识数据对应至一特征子群聚的对应结果。6. 如权利要求5所述的保护方法,其特征在于,其中该机器学习模块进行该多个特征 模式数据与该输入数据的一辨识操作,以产生该特征辨识结果,进而进行该终端装置的保 护操作。7. 如权利要求6所述的保护方法,其特征在于,其还包含进行一半监督特征学习操作, 来判断该多个特征模式数据与该输入数据间是否包含有相同的至少一可辨识特征数据,且 当该多个特征模式数据与该输入数据间包含有相同的至少一可辨识特征数据时,将该至少 一可辨识特征数据与其所对应的一治愈数据作为该特征辨识结果,以传输该特征辨识结果 至该终端装置来进行该保护操作,其中,该可辨识特征数据对应为一电子档案的结构特征。8. 如权利要求7所述的保护方法,其特征在于,其中若该多个特征模式数据与该输入 数据间未包含有相同的至少一可辨识特征数据时,还进行一相似核心操作,以产生一处方 性分析结果或一认知性分析结果为该特征辨识结果,进而传输该特征辨识结果至该终端装 置来执行该保护操作。9. 一种电脑系统,耦接一终端装置,并用以解除一恶意软件于该终端装置的攻击,其特 征在于,该电脑系统包含: 一中央处理器;以及 一储存装置,耦接于该中央处理器,并储存有一程序码,该程序码用来进行一保护方 法,该保护方法包含: 接收一观测数据,其中该观测数据包含有一未辨识数据与一已辨识数据中至少之一; 根据一转导机器学习模块,转换该观测数据为一第一对应数据; 根据一引导机器学习模块,切分该第一对应数据为一第二对应数据,并提供该第二对 应数据至一机器学习模块; 该机器学习模块接收一输入数据,且根据一特征模式数据库处理该输入数据,以产生 一特征辨识结果;以及 传输该特征辨识结果至该终端装置。10. 如权利要求9所述的电脑系统,其特征在于,其中该输入数据来自一可运算装置、 一远端储存装置、一应用程序或一网络数据所对应的一操作或一数据,而该观测数据为该 输入数据所对应的该操作或该数据。11. 如权利要求9所述的电脑系统,其特征在于,其中该保护方法还包含该转导机器学 习模块根据一可辨识特征数据,以将该观测数据分类对应至多个群组数据来形成该第一对 应数据,其中每一该群组数据对应为一特征群聚。12. 如权利要求11所述的电脑系统,其特征在于,其中该保护方法还包含该引导机器 学习模块接收该第一对应数据,且区分每一该特征群聚为多个特征子群聚,以将对应后的 每一群组数据的该观测数据对应至该多个特征子群聚,进而得到该多组群组数据中该未辨 识数据与该已辨识数据中至少之一对应至该多个特征子群聚的对应结果且形成该第二对 应数据。13. 如权利要求12所述的电脑系统,其特征在于,其中该保护方法还包含利用该第二 对应数据来更新该机器学习模块的一特征模式数据库,其中,该特征模式数据库包含有多 个特征模式数据,而每一特征模式数据为一已辨识数据对应至一特征子群聚的对应结果。14. 如权利要求13所述的电脑系统,其特征在于,其中该保护方法还包含该机器学习 模块进行该多个特征模式数据与该输入数据的一辨识操作,以产生该特征辨识结果,进而 进行该终端装置的保护操作。15. 如权利要求14所述的电脑系统,其特征在于,其中该保护方法还包含进行一半监 督特征学习操作,来判断该多个特征模式数据与该输入数据间是否包含有相同的至少一可 辨识特征数据,且当该多个特征模式数据与该输入数据间包含有相同的至少一可辨识特征 数据时,将该至少一可辨识特征数据与其所对应的一治愈数据作为该特征辨识结果,以传 输该特征辨识结果至该终端装置来进行该保护操作,其中,该可辨识特征数据对应为一电 子档案的结构特征。16. 如权利要求15所述的电脑系统,其特征在于,其中该保护方法还包含若该多个特 征模式数据与该输入数据间未包含有相同的至少一可辨识特征数据时,进行一相似核心操 作,以产生一处方性分析结果或一认知性分析结果为该特征辨识结果,进而传输该特征辨 识结果至该终端装置来执行该保护操作。
【文档编号】G06F21/56GK105989285SQ201510093091
【公开日】2016年10月5日
【申请日】2015年3月2日
【发明人】陈志明
【申请人】纬创资通股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1