本公开提供了一种从N到N+1的多类转换恶意软件检测方法，包括获取待测软件的网络流量，输入到预训练的检测模型中，输出待测软件的检测结果；其中，所述检测模型的训练及更新过程包括：通过聚类算法对初始训练集进行分类处理，将所述初始训练集构建成树形结构，树的节点为训练样本中不同类别的质心；随着训练样本的更新，将增量数据样本输入预训练的检测模型，对所述检测模型进行更新，生成最新的检测模型；所述方案通过对动态增长的数据集进行有效处理，解决了训练数据的数量和类的数量随着时间的推移而增加场景下的恶意软件检测问题。