近年来,勒索软件的活跃度高居不下,给社会造成了严重的经济损失。文件一旦被勒索软件加密后将难以恢复,因此如何及时且准确地检测出勒索软件成为当前的研究热点。目前针对勒索软件检测,国内外学者已经提出了多种检测方法,但现阶段基于动态的主机检测方法需要较长的时间才能检测,不能满足勒索软件及时检测的需求,并且少有学者考虑勒索软件加密阶段产生的操作与系统用户大批量操作之间差异性。本文重点关注勒索软件加密阶段,以勒索软件加密过程调用的应用程序编程接口（Application Programming Interface,API）序列为研究对象,对勒索软件动态行为进行分析。本文主要研究工作包括以下两个部分。（1）为提升勒索软件检测的及时性和准确性并减轻特征工程,本文针对勒索软件在加密初期与正常软件在运行初期调用API序列的差异性,提出了一种基于CNN-LSTM的勒索软件早期检测方法（Ransomware Early Detection Method based on CNN-LSTM,REDMCL）。REDMCL以软件运行初期所调用的一定长度API序列为输入,结合词向量和位置向量对API序列进行向量化表征,再构建深度卷积网络与长短时记忆网络（Convolutional Neural Network-Long Short Term Memory,CNN-LSTM）结合的勒索软件早期检测模型捕捉序列特征,以实现勒索软件判别。实验证明,该方法能够以高准确率在短时间内检测出变种和未知的勒索软件。（2）针对目前勒索软件检测中不能较好的区别良性软件大批量操作的问题,本文在分析勒索软件加密阶段的操作特性的基础上,提出了一种基于CNNBi LSTM的勒索软件检测方法（Ransomware Detection Method based on CNNBi LSTM,RDMCBL）,该方法以API序列作为分析对象,构建深度卷积网络与双向长短时记忆网络（Convolutional Neural Network-Bi-directional Long Short Term Memory,CNN-Bi LSTM）结合的深度学习模型,以实现勒索软件与加入混淆度良性软件分类。实验结果证明,该方法可以对勒索软件与添加了其他操作的良性软件实现有效检测。