该论文提出了一种针对勒索软件检测的实用多阶段方法，旨在解决现有检测方案在监控文件系统活动时产生的I/O开销问题。作者首先分析了勒索软件的行为特征，即大量加密操作导致高频率的I/O事件。为了在检测准确性与系统性能之间取得平衡，他们设计了一个两阶段检测框架：第一阶段利用轻量级行为检测器快速筛选可疑进程，第二阶段对可疑进程进行深度分析，使用更复杂的特征如文件熵变化和加密模式识别。实验在真实环境下的数据集上进行，包括多种勒索软件家族和良性软件。结果表明，该方法在中等系统负载下几乎不引入额外性能开销，在高负载下也仅产生可接受的开销，同时实现了高检测率和低误报率。论文的关键贡献在于提出了一种兼顾实时性和资源效率的检测架构，适合部署在资源受限的端点或服务器上。