Método de clasificación de ataques ransomware utilizando algoritmos a través de machine learning

Abstract

El ransomware es una seria amenaza para la seguridad cibernética, siendo conocido por su capacidad destructiva al cifrar datos de organizaciones y exigir rescates para su liberación. Esta tesis aborda la creciente sofisticación de estos ataques y propone un método de clasificación mediante algoritmos de Machine Learning con el objetivo de comprender mejor los archivos ransomware y mejorar la seguridad cibernética. Se seleccionó un dataset que incluye tanto muestras benignas como malignas de ransomware. Estos datos fueron sometidos a un análisis detallado para extraer características relevantes, como Machine, DebugSize, DebugRVA, MajorImageVersion, MajorOSVersion, ExportRVA, ExportSize, IatVRA, MajorLinkerVersion, MinorLinkerVersion, NumberOfSections, SizeOfStackReserve, DllCharacteristics, ResourceSize, con el objetivo de clasificarlos como 'Benign'. Posteriormente, el dataset se dividió en un 80% para entrenamiento y un 20% para pruebas. Se procedió al entrenamiento del modelo, ajustando los hiperparámetros y calculando métricas como accuracy, precisión también recall y por último F1-Score. Se implementó el método de Voting para la clasificación por votos y, finalmente, el modelo entrenado se guardó en un archivo joblib para su posterior uso en la clasificación. Los resultados mostraron un rendimiento excepcional para los algoritmos Decision Tree y Random Forest, alcanzando un 99.4% y 99.6% en cada una de las métricas evaluadas, respectivamente. En cuanto al algoritmo SVM, se observaron resultados variables con un 87.50% en accuracy y F1-Score, un 87.40% en recall y un sorprendente 99.96% en precisión.