Klasifikace malwaru na základě strojového učení podle typu a rodiny

Abstract

Tato diplomová práce se zabývá problematikou klasifikace malwaru pomocí strojového učení a přináší dataset označený jak na úrovni typu malwaru, tak na úrovni jeho rodiny. Binární soubory byly shromážděny ze zdrojů jako VirusShare, VX Underground a MalwareBazaar a následně opatřeny štítky o rodině získanými z názvů souborů a typovými štítky převzatými z ClarAVy. Dataset byl dále zpracován jednotným automatizovaným postupem pro extrakci příznaků založeným na statické analýze, především s využitím údajů z PE hlaviček, aby bylo možné provádět pokročilé klasifikační úlohy. Vyhodnocení se zaměřilo na tři klíčové oblasti. V binární klasifikaci, tedy rozlišování mezi malwarem a legitimními vzorky, dosáhly modely Random Forest a XGBoost velmi vysoké přesnosti, konkrétně 98,5 % při detekci podle typu a 98,98 % při detekci podle rodiny. Při použití zmenšených datasetů o 1 000 vzorcích, které simulovaly podmínky s omezeným množstvím dat, si modely udržely vysoký výkon s přesností 97,6 % při typové detekci a 98,66 % při detekci podle rodiny. Při klasifikaci mezi jednotlivými typy nebo rodinami malwaru dosahovaly modely až 97,5 % přesnosti na úrovni typů a až 93,7 % na úrovni rodin. Při klasifikaci do více tříd, kdy bylo cílem přiřadit vzorky ke správnému typu nebo rodině, dosáhl model SVM přesnosti 81,1 % pro typy, zatímco Random Forest a XGBoost přibližně 73,4 % pro rodiny. Výsledky poukazují na praktické kompromisy mezi přesností a výpočetní náročností a ukazují, že značení na úrovni typu i rodiny umožňuje detailnější a hodnotnější klasifikaci malwaru. Práce tak vytváří pevný základ pro další výzkum v oblasti pokročilé detekce a klasifikace malwaru.This thesis addresses the challenge of malware classification using machine learning by developing a novel dataset labeled at both the malware type and family levels. Raw binaries were collected from sources such as VirusShare, VX Underground, and MalwareBazaar, and subsequently labeled with family information parsed from binary names and type-level labels integrated from ClarAVy. The dataset was processed using a unified feature extraction pipeline based on static analysis, particularly extracting features from PE headers, to support advanced classification tasks. The evaluation was focused on three key classification tasks. In the binary classification of malware versus benign samples, Random Forest and XGBoost achieved high accuracy on the full datasets, reaching 98.5% for type-based detection and 98.98% for family-based detection. When using truncated datasets of 1,000 samples to assess performance under limited data conditions, both models still performed strongly, achieving 97.6% for type-based detection and 98.66% for family-based detection. For interclass classification, which distinguishes between malware types or families, the models reached up to 97.5% accuracy on type-level tasks and up to 93.7% on family-level tasks. In the multiclass classification setting, which assigns samples to the correct type or family, SVM achieved 81.1% accuracy on type labels, while Random Forest and XGBoost reached approximately 73.4% on family labels. The results highlight practical trade-offs between accuracy and computational cost, and demonstrate that labeling at both the type and family levels enables more fine-grained and insightful malware classification. The thesis establishes a robust foundation for future research on advanced malware detection and classification.