通常杀毒软件基于静态检测,检测勒索软件时,存在检测率低的问题。对勒索软件行为进行分析时,发现勒索软件有频繁读取、加密和删除文件等特点。根据其特点,提出一种基于行为频繁度的检测方法。该方法基于动态分析,计算勒索软件对特定后缀、路径以及API调用等行为的频繁度,并结合内存行为构建特征,再使用优化参数后的随机森林算法构造勒索软件检测模型。测试数据集包括16类勒索软件家族的1 412个软件和379个正常软件。并与其他算法及多种杀毒软件进行比较。实验结果表明该方法能很好地检测勒索软件以及未知家族的勒索样本。