Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático

The exponential growth of modern malware and the sophistication of its evasion techniques demand automated and scalable detection methods. This Master's thesis presents a malware family classification system based on static analysis and supervised learning (XGBoost). Using a real dataset of...

Descripción completa

Detalles Bibliográficos
Autor: Chamorro Alvarado, Verónica Lucía
Tipo de recurso: tesis de maestría
Fecha de publicación:2026
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/154346
Acceso en línea:https://hdl.handle.net/10609/154346
Access Level:acceso abierto
Palabra clave:malware
clasificación de malware
random forest
machine learning
XGBoost
Computer security -- TFM
Seguretat informàtica -- TFM
id ES_844efc7d80c8f3b9643f68d2ade7442f
oai_identifier_str oai:openaccess.uoc.edu:10609/154346
network_acronym_str ES
network_name_str España
repository_id_str
spelling Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automáticoChamorro Alvarado, Verónica Lucíamalwareclasificación de malwarerandom forestmachine learningXGBoostComputer security -- TFMSeguretat informàtica -- TFMThe exponential growth of modern malware and the sophistication of its evasion techniques demand automated and scalable detection methods. This Master's thesis presents a malware family classification system based on static analysis and supervised learning (XGBoost). Using a real dataset of 65,000 samples collected from VirusShare and enriched with the VirusTotal API, a hybrid feature vector was constructed that combines structural (entropy, sections) and behavioral (API Imports) metrics. The results demonstrate the model's effectiveness in identifying unobfuscated native Windows malware, achieving over 95\% accuracy in traditional families. However, the study reveals a critical limitation of static analysis: its inability to correctly classify tightly packed samples or non-Windows architectures (IoT), where the detection rate drops drastically. Additionally, a label noise problem was identified, stemming from inconsistencies between antivirus engines. This work concludes that, while static machine learning is an efficient first line of defense, it requires dynamic unpacking mechanisms to deal with modern obfuscated threats.El crecimiento exponencial del malware moderno y la sofisticación de sus técnicas de evasión exigen métodos de detección automatizados y escalables. Este Trabajo de Fin de Máster presenta un sistema de clasificación de familias de malware basado en análisis estático y aprendizaje supervisado (XGBoost). A partir de un conjunto de datos real de 65.000 muestras recolectadas de VirusShare y enriquecidas mediante la API de VirusTotal, se construyó un vector de características híbrido que combina métricas estructurales (entropía, secciones) y comportamentales (API Imports). Los resultados demuestran la eficacia del modelo para identificar malware nativo de Windows no ofuscado, alcanzando una precisión superior al 95\% en familias tradicionales. Sin embargo, el estudio revela una limitación crítica del análisis estático: su incapacidad para clasificar correctamente muestras fuertemente empaquetadas (packed) o arquitecturas no-Windows (IoT), donde la tasa de detección desciende drásticamente. Asimismo, se diagnosticó un problema de ruido en el etiquetado (Label Noise) derivado de la inconsistencia entre motores antivirus. Este trabajo concluye que, si bien el aprendizaje automático estático es una primera línea de defensa eficiente, requiere de mecanismos de desempaquetado dinámico para enfrentar amenazas ofuscadas modernas.Universitat Oberta de Catalunya (UOC)Rivera, Richard202620262026info:eu-repo/semantics/masterThesisapplication/pdfapplication/pdfhttps://hdl.handle.net/10609/154346reponame:O2, repositorio institucional de la UOCinstname:Universitat Oberta de Catalunya (UOC)EspañolCC BY-NC-ND https://creativecommons.org/licenses/by-nc-nd/4.0/info:eu-repo/semantics/openAccessoai:openaccess.uoc.edu:10609/1543462026-05-28T12:42:01Z
dc.title.none.fl_str_mv Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
title Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
spellingShingle Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
Chamorro Alvarado, Verónica Lucía
malware
clasificación de malware
random forest
machine learning
XGBoost
Computer security -- TFM
Seguretat informàtica -- TFM
title_short Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
title_full Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
title_fullStr Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
title_full_unstemmed Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
title_sort Clasificación de malware con características estáticas mediante algoritmos de aprendizaje automático
dc.creator.none.fl_str_mv Chamorro Alvarado, Verónica Lucía
author Chamorro Alvarado, Verónica Lucía
author_facet Chamorro Alvarado, Verónica Lucía
author_role author
dc.contributor.none.fl_str_mv Rivera, Richard
dc.subject.none.fl_str_mv malware
clasificación de malware
random forest
machine learning
XGBoost
Computer security -- TFM
Seguretat informàtica -- TFM
topic malware
clasificación de malware
random forest
machine learning
XGBoost
Computer security -- TFM
Seguretat informàtica -- TFM
description The exponential growth of modern malware and the sophistication of its evasion techniques demand automated and scalable detection methods. This Master's thesis presents a malware family classification system based on static analysis and supervised learning (XGBoost). Using a real dataset of 65,000 samples collected from VirusShare and enriched with the VirusTotal API, a hybrid feature vector was constructed that combines structural (entropy, sections) and behavioral (API Imports) metrics. The results demonstrate the model's effectiveness in identifying unobfuscated native Windows malware, achieving over 95\% accuracy in traditional families. However, the study reveals a critical limitation of static analysis: its inability to correctly classify tightly packed samples or non-Windows architectures (IoT), where the detection rate drops drastically. Additionally, a label noise problem was identified, stemming from inconsistencies between antivirus engines. This work concludes that, while static machine learning is an efficient first line of defense, it requires dynamic unpacking mechanisms to deal with modern obfuscated threats.
publishDate 2026
dc.date.none.fl_str_mv 2026
2026
2026
dc.type.none.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
dc.identifier.none.fl_str_mv https://hdl.handle.net/10609/154346
url https://hdl.handle.net/10609/154346
dc.language.none.fl_str_mv Español
language_invalid_str_mv Español
dc.rights.none.fl_str_mv CC BY-NC-ND
https://creativecommons.org/licenses/by-nc-nd/4.0/
info:eu-repo/semantics/openAccess
rights_invalid_str_mv CC BY-NC-ND
https://creativecommons.org/licenses/by-nc-nd/4.0/
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
application/pdf
dc.publisher.none.fl_str_mv Universitat Oberta de Catalunya (UOC)
publisher.none.fl_str_mv Universitat Oberta de Catalunya (UOC)
dc.source.none.fl_str_mv reponame:O2, repositorio institucional de la UOC
instname:Universitat Oberta de Catalunya (UOC)
instname_str Universitat Oberta de Catalunya (UOC)
reponame_str O2, repositorio institucional de la UOC
collection O2, repositorio institucional de la UOC
repository.name.fl_str_mv
repository.mail.fl_str_mv
_version_ 1869412214570483712
score 15,811543