Análisis forense de memoria para la detección de malware
Descripción del Articulo
El aumento de ataques a través de malwares ha destacado la necesidad de una detección efectiva, pero lamentablemente, las herramientas actuales no logran satisfacer completamente estas necesidades mediante métodos tradicionales. Por este motivo, otros enfoques analíticos han ganado popularidad, como...
| Autor: | |
|---|---|
| Formato: | tesis de grado |
| Fecha de Publicación: | 2024 |
| Institución: | Universidad de Ingeniería y tecnología |
| Repositorio: | UTEC-Institucional |
| Lenguaje: | español |
| OAI Identifier: | oai:repositorio.utec.edu.pe:20.500.12815/411 |
| Enlace del recurso: | https://hdl.handle.net/20.500.12815/411 |
| Nivel de acceso: | acceso abierto |
| Materia: | Malware Análisis forense de memoria Volatility Framework Machine learning Conjunto de datos https://purl.org/pe-repo/ocde/ford#1.02.02 |
| id |
UTEC_9cad6001f4bb3e5d905d13ae1eb6a38d |
|---|---|
| oai_identifier_str |
oai:repositorio.utec.edu.pe:20.500.12815/411 |
| network_acronym_str |
UTEC |
| network_name_str |
UTEC-Institucional |
| repository_id_str |
4822 |
| dc.title.es_PE.fl_str_mv |
Análisis forense de memoria para la detección de malware |
| title |
Análisis forense de memoria para la detección de malware |
| spellingShingle |
Análisis forense de memoria para la detección de malware Otero Henostroza, Alejandro Malware Análisis forense de memoria Volatility Framework Machine learning Conjunto de datos https://purl.org/pe-repo/ocde/ford#1.02.02 |
| title_short |
Análisis forense de memoria para la detección de malware |
| title_full |
Análisis forense de memoria para la detección de malware |
| title_fullStr |
Análisis forense de memoria para la detección de malware |
| title_full_unstemmed |
Análisis forense de memoria para la detección de malware |
| title_sort |
Análisis forense de memoria para la detección de malware |
| author |
Otero Henostroza, Alejandro |
| author_facet |
Otero Henostroza, Alejandro |
| author_role |
author |
| dc.contributor.advisor.fl_str_mv |
Pazos Ortiz, Jose Carlos |
| dc.contributor.author.fl_str_mv |
Otero Henostroza, Alejandro |
| dc.subject.es_PE.fl_str_mv |
Malware Análisis forense de memoria Volatility Framework Machine learning Conjunto de datos |
| topic |
Malware Análisis forense de memoria Volatility Framework Machine learning Conjunto de datos https://purl.org/pe-repo/ocde/ford#1.02.02 |
| dc.subject.ocde.es_PE.fl_str_mv |
https://purl.org/pe-repo/ocde/ford#1.02.02 |
| description |
El aumento de ataques a través de malwares ha destacado la necesidad de una detección efectiva, pero lamentablemente, las herramientas actuales no logran satisfacer completamente estas necesidades mediante métodos tradicionales. Por este motivo, otros enfoques analíticos han ganado popularidad, como el análisis de memoria, también conocido como análisis forense de memoria. En este proceso, se genera un volcado de memoria que luego se analiza mediante herramientas como Volatility Framework. Esto permite a los analistas revisar toda la información y determinar la presencia de malware. Sin embargo, este procedimiento puede volverse complejo y puede llegar a consumir mucho tiempo. Por esta razón, se propone la utilización de modelos de machine learning y la creación de una base de datos. Este conjunto de datos permitirá entrenar de manera adecuada los modelos de clasificación propuestos, ya que la información recopilada proviene de entornos reales. El objetivo es automatizar el proceso de detección, lo que reducirá el tiempo de trabajo de los analistas. Adicionalmente, se realizaron experimentos para evaluar la efectividad de los modelos al hacer uso de protocolos de comparación, entre los cuales tenemos a los reductores de dimensionalidad, cross validation y métricas, como precisión, exactitud, etc. Se obtuvo que los modelos Random Forest y AdaBoost consiguieron los mejores resultados con un 85 % de precisión al ser entrenados con el dataset construido. |
| publishDate |
2024 |
| dc.date.accessioned.none.fl_str_mv |
2025-01-24T17:48:10Z |
| dc.date.available.none.fl_str_mv |
2025-01-24T17:48:10Z |
| dc.date.issued.fl_str_mv |
2024 |
| dc.type.es_PE.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| format |
bachelorThesis |
| dc.identifier.citation.es_PE.fl_str_mv |
Otero Henostroza, A. (2024). Análisis forense de memoria para la detección de malware [Tesis de Título Profesional, Universidad de Ingeniería y Tecnología]. Repositorio Institucional UTEC. https://hdl.handle.net/20.500.12815/411 |
| dc.identifier.uri.none.fl_str_mv |
https://hdl.handle.net/20.500.12815/411 |
| identifier_str_mv |
Otero Henostroza, A. (2024). Análisis forense de memoria para la detección de malware [Tesis de Título Profesional, Universidad de Ingeniería y Tecnología]. Repositorio Institucional UTEC. https://hdl.handle.net/20.500.12815/411 |
| url |
https://hdl.handle.net/20.500.12815/411 |
| dc.language.iso.es_PE.fl_str_mv |
spa |
| language |
spa |
| dc.relation.ispartof.fl_str_mv |
SUNEDU |
| dc.rights.es_PE.fl_str_mv |
info:eu-repo/semantics/openAccess |
| dc.rights.uri.none.fl_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ |
| eu_rights_str_mv |
openAccess |
| rights_invalid_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ |
| dc.format.es_PE.fl_str_mv |
application/pdf |
| dc.publisher.es_PE.fl_str_mv |
Universidad de Ingeniería y Tecnología |
| dc.publisher.country.es_PE.fl_str_mv |
PE |
| dc.source.es_PE.fl_str_mv |
Repositorio Institucional UTEC Universidad de Ingeniería y Tecnología - UTEC |
| dc.source.none.fl_str_mv |
reponame:UTEC-Institucional instname:Universidad de Ingeniería y tecnología instacron:UTEC |
| instname_str |
Universidad de Ingeniería y tecnología |
| instacron_str |
UTEC |
| institution |
UTEC |
| reponame_str |
UTEC-Institucional |
| collection |
UTEC-Institucional |
| bitstream.url.fl_str_mv |
http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/1/Otero%20Henostroza_Tesis.pdf http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/2/Otero%20Henostroza_Autorizacio%cc%81n.docx.pdf http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/3/Otero%20Henostroza_Acta%20de%20sustentacio%cc%81n.pdf http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/4/Otero%20Henostroza_Reporte%20de%20similitud.pdf http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/5/license.txt http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/6/Otero%20Henostroza_Tesis.pdf.txt http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/8/Otero%20Henostroza_Autorizacio%cc%81n.docx.pdf.txt http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/10/Otero%20Henostroza_Acta%20de%20sustentacio%cc%81n.pdf.txt http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/12/Otero%20Henostroza_Reporte%20de%20similitud.pdf.txt http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/7/Otero%20Henostroza_Tesis.pdf.jpg http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/9/Otero%20Henostroza_Autorizacio%cc%81n.docx.pdf.jpg http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/11/Otero%20Henostroza_Acta%20de%20sustentacio%cc%81n.pdf.jpg http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/13/Otero%20Henostroza_Reporte%20de%20similitud.pdf.jpg |
| bitstream.checksum.fl_str_mv |
ef2fbddf409c652b0a04e1eb9faa222b 02eba2c03d75233fdbc8cb82673f2624 2169fd557ccfb96b1f65373442d98867 b8d7ddaa62afd0ba7a98953f73fccc2e 8a4605be74aa9ea9d79846c1fba20a33 7023b4a54f641e58f3e7e559b13cab54 4ae4cbcddad9e13e0e2b1af7e15375c4 d7596473cb892128f2809f69c368c3e7 e91554863da92c03eb4d9741528d01ba 2a1bdef65cdcb40fafba3f18bc040adb 1ccc40f58162d31970f191ca0dc19a6d 4391fbf67ef2a4bbc8b241b1d502f2a2 386ec4ac6800ca20f68ad73c463abece |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio Institucional UTEC |
| repository.mail.fl_str_mv |
repositorio@utec.edu.pe |
| _version_ |
1843166368323600384 |
| spelling |
Pazos Ortiz, Jose CarlosOtero Henostroza, Alejandro2025-01-24T17:48:10Z2025-01-24T17:48:10Z2024Otero Henostroza, A. (2024). Análisis forense de memoria para la detección de malware [Tesis de Título Profesional, Universidad de Ingeniería y Tecnología]. Repositorio Institucional UTEC. https://hdl.handle.net/20.500.12815/411https://hdl.handle.net/20.500.12815/411El aumento de ataques a través de malwares ha destacado la necesidad de una detección efectiva, pero lamentablemente, las herramientas actuales no logran satisfacer completamente estas necesidades mediante métodos tradicionales. Por este motivo, otros enfoques analíticos han ganado popularidad, como el análisis de memoria, también conocido como análisis forense de memoria. En este proceso, se genera un volcado de memoria que luego se analiza mediante herramientas como Volatility Framework. Esto permite a los analistas revisar toda la información y determinar la presencia de malware. Sin embargo, este procedimiento puede volverse complejo y puede llegar a consumir mucho tiempo. Por esta razón, se propone la utilización de modelos de machine learning y la creación de una base de datos. Este conjunto de datos permitirá entrenar de manera adecuada los modelos de clasificación propuestos, ya que la información recopilada proviene de entornos reales. El objetivo es automatizar el proceso de detección, lo que reducirá el tiempo de trabajo de los analistas. Adicionalmente, se realizaron experimentos para evaluar la efectividad de los modelos al hacer uso de protocolos de comparación, entre los cuales tenemos a los reductores de dimensionalidad, cross validation y métricas, como precisión, exactitud, etc. Se obtuvo que los modelos Random Forest y AdaBoost consiguieron los mejores resultados con un 85 % de precisión al ser entrenados con el dataset construido.The increase in attacks through malware has underscored the need for effective detection, but unfortunately, current tools fall short of fully meeting these requirements through traditional methods. For this reason, other analytical approaches have gained popularity, such as memory analysis, also known as memory forensics. In this process, a memory dump is generated and then analyzed using tools like the Volatility Framework. This allows analysts to review all the information and determine the presence of malware. However, this procedure can become complex and may consume a significant amount of time. Therefore, the use of machine learning models and the creation of a database is proposed. This dataset will enable the proper training of the proposed classification models, as the collected information comes from real environments and provides accurate results. The goal is to automate the detection process, thereby reducing the time analysts spend on this task. Moreover, experiments were conducted to assess the effectiveness of the models using comparison protocols, including dimensionality reducers, cross-validation, and metrics such as precision, accuracy, among others. It was found that the Random Forest and the AdaBoost classifiers achieved the best results with a 85 % precision when trained with the constructed dataset.Tesisapplication/pdfspaUniversidad de Ingeniería y TecnologíaPEinfo:eu-repo/semantics/openAccesshttp://creativecommons.org/licenses/by-nc-nd/4.0/Repositorio Institucional UTECUniversidad de Ingeniería y Tecnología - UTECreponame:UTEC-Institucionalinstname:Universidad de Ingeniería y tecnologíainstacron:UTECMalwareAnálisis forense de memoriaVolatility FrameworkMachine learningConjunto de datoshttps://purl.org/pe-repo/ocde/ford#1.02.02Análisis forense de memoria para la detección de malwareinfo:eu-repo/semantics/bachelorThesisSUNEDUCiencia de la ComputaciónUniversidad de Ingeniería y Tecnología. Ciencia de la ComputaciónTítulo ProfesionalLicenciado en Ciencia de la Computación48027423https://orcid.org/0000-0001-9319-225675987588https://orcid.org/0009-0002-9616-4300611016Gonzalez Reaño, Jorge LuisDeza Figueroa, Manuel ArturoGutierrez Alva, Julio Josuehttps://purl.org/pe-repo/renati/level#tituloProfesionalhttps://purl.org/pe-repo/renati/type#tesisORIGINALOtero Henostroza_Tesis.pdfOtero Henostroza_Tesis.pdfapplication/pdf1357537http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/1/Otero%20Henostroza_Tesis.pdfef2fbddf409c652b0a04e1eb9faa222bMD51open accessOtero Henostroza_Autorización.docx.pdfOtero Henostroza_Autorización.docx.pdfapplication/pdf125385http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/2/Otero%20Henostroza_Autorizacio%cc%81n.docx.pdf02eba2c03d75233fdbc8cb82673f2624MD52metadata only accessOtero Henostroza_Acta de sustentación.pdfOtero Henostroza_Acta de sustentación.pdfapplication/pdf140988http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/3/Otero%20Henostroza_Acta%20de%20sustentacio%cc%81n.pdf2169fd557ccfb96b1f65373442d98867MD53metadata only accessOtero Henostroza_Reporte de similitud.pdfOtero Henostroza_Reporte de similitud.pdfapplication/pdf56775http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/4/Otero%20Henostroza_Reporte%20de%20similitud.pdfb8d7ddaa62afd0ba7a98953f73fccc2eMD54metadata only accessLICENSElicense.txtlicense.txttext/plain; charset=utf-81748http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/5/license.txt8a4605be74aa9ea9d79846c1fba20a33MD55open accessTEXTOtero Henostroza_Tesis.pdf.txtOtero Henostroza_Tesis.pdf.txtExtracted texttext/plain88632http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/6/Otero%20Henostroza_Tesis.pdf.txt7023b4a54f641e58f3e7e559b13cab54MD56open accessOtero Henostroza_Autorización.docx.pdf.txtOtero Henostroza_Autorización.docx.pdf.txtExtracted texttext/plain2858http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/8/Otero%20Henostroza_Autorizacio%cc%81n.docx.pdf.txt4ae4cbcddad9e13e0e2b1af7e15375c4MD58metadata only accessOtero Henostroza_Acta de sustentación.pdf.txtOtero Henostroza_Acta de sustentación.pdf.txtExtracted texttext/plain668http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/10/Otero%20Henostroza_Acta%20de%20sustentacio%cc%81n.pdf.txtd7596473cb892128f2809f69c368c3e7MD510metadata only accessOtero Henostroza_Reporte de similitud.pdf.txtOtero Henostroza_Reporte de similitud.pdf.txtExtracted texttext/plain1485http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/12/Otero%20Henostroza_Reporte%20de%20similitud.pdf.txte91554863da92c03eb4d9741528d01baMD512metadata only accessTHUMBNAILOtero Henostroza_Tesis.pdf.jpgOtero Henostroza_Tesis.pdf.jpgGenerated Thumbnailimage/jpeg7496http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/7/Otero%20Henostroza_Tesis.pdf.jpg2a1bdef65cdcb40fafba3f18bc040adbMD57open accessOtero Henostroza_Autorización.docx.pdf.jpgOtero Henostroza_Autorización.docx.pdf.jpgGenerated Thumbnailimage/jpeg7514http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/9/Otero%20Henostroza_Autorizacio%cc%81n.docx.pdf.jpg1ccc40f58162d31970f191ca0dc19a6dMD59metadata only accessOtero Henostroza_Acta de sustentación.pdf.jpgOtero Henostroza_Acta de sustentación.pdf.jpgGenerated Thumbnailimage/jpeg8244http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/11/Otero%20Henostroza_Acta%20de%20sustentacio%cc%81n.pdf.jpg4391fbf67ef2a4bbc8b241b1d502f2a2MD511metadata only accessOtero Henostroza_Reporte de similitud.pdf.jpgOtero Henostroza_Reporte de similitud.pdf.jpgGenerated Thumbnailimage/jpeg8713http://repositorio.utec.edu.pe/bitstream/20.500.12815/411/13/Otero%20Henostroza_Reporte%20de%20similitud.pdf.jpg386ec4ac6800ca20f68ad73c463abeceMD513metadata only access20.500.12815/411oai:repositorio.utec.edu.pe:20.500.12815/4112025-04-09 16:55:23.924open accessRepositorio Institucional UTECrepositorio@utec.edu.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 |
| score |
13.4481325 |
Nota importante:
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
