电子邮件目前仍然是政府、企业、社会组织和个人使用最频繁的工作业务联系和交流的工具之一。随着个人隐私信息的大量泄露,攻击者可以通过收集攻击目标的相关信息制作出信息关联度极高的精准钓鱼邮件,此类邮件成为当前APT攻击和传播勒索软件的重要手段。本文针对恶意邮件的新威胁和检测存在的问题,提出了基于多特征的静态恶意邮件检测技术以及基于虚拟化平台的动态恶意邮件检测技术。为了进一步提升检测精度和效率,提出了一种静动结合的新型恶意邮件复合检测技术。检测方法均使用了Ada Boost集成学习算法和Voting组合策略构建分类模型,有效地提升了整体分类模型的检测精度和泛化能力。实验结果表明,本文所提出的恶意邮件检测方法与已有检测方法相比较,准确率和效率达到了均衡最优,也优于主流杀毒引擎。综上,本文主要研究成果如下:(1)提出了一种基于多特征的静态恶意邮件检测技术。基于快速静态分析,一次性的从邮件头部、正文和附件提取了大量可靠的、有区分度的静态特征用于静态分类检测模型的构建,实现对恶意邮件的快速准确的检测。(2)提出了一种基于虚拟化平台的动态恶意邮件检测技术。模拟用户打开邮件,利用虚拟机自省(Virtual Machine Introspection,VMI)技术和内存取证分析(Memory Forensics Analysis,MFA)技术捕获邮件动态行为特征,有效避免了针对传统沙箱的规避技术问题,从而获取更加真实可靠的邮件动态特征信息,提升了检测精准钓鱼邮件的能力。(3)提出了一种高效的静动结合的新型恶意邮件复合检测技术。首先采用静态检测方法进行检测过滤掉常规垃圾邮件和钓鱼邮件,对于发现的难于判定的可疑邮件再使用动态检测方法进行检测,进而发现高危精准钓鱼邮件,整体提升检测方法的精度和效率。(4)本文在静态和动态检测方法中,分别找出了最优的机器学习算法模型,借助Ada Boost集成学习方法和Voting组合策略,有效的提升了整体分类器的分类精度和泛化能力。总之,本文提出的恶意邮件检测技术可以提升对精准钓鱼邮件的检测发现能力,对保障网络空间安全具有积极意义。