格式化文档漏洞的逐渐增多使得恶意文档越来越多地被用来攻击，恶意文档具有隐蔽性强、破坏性高、检测难度大等特点。本文通过对恶意文档的攻击方式、组成结构和攻击代码所采用的攻击技术进行了全面分析，提出了基于空间向量计算的检测方法和基于内核驱动的恶意代码动态检测方法，并针对典型的变形手段提出了有针对性地改进，利用以上两种方法对119个文档进行了检测，结果表明和传统检测软件相比，两种方法对恶意文档检测在漏报率和误报率均具备一定优势，并且在不影响系统性能的前提下，及时准确地向用户报告任何攻击信息，增强了系统的整体安全性，在性能和检测方面都达到较好的检测效果。　　 论文的主要成果如下：　　 1、对恶意文档的结构组成和执行流程进行了详细的分析，对恶意文档的技术特点、检测难点、发展趋势等问题进行了分析和总结。　　 2、深入分析了恶意文档中恶意代码所使用的攻击技术的原理，较为全面的给出了恶意代码的攻击方式及其危害，并进行了对比分析，为后续的检测技术研究奠定了基础。　　 3、提出了基于空间向量计算的恶意文档检测方法，利用向量夹角算法实施检测，并对传统向量夹角算法进行了改进，使其计算复杂度由O(MS3)降低为O(MS3/K1K2)，同时指明了改进后算法与原算法误差为2(K1-1)/C1S1+2(K2-1)/C2S2。　　 4、提出了基于内核驱动的恶意代码动态检测方法，该方法采用驱动的方式运行于系统内核中，在不影响系统性能的前提下，动态监控系统中所有在执行程序，从而达到较好的检测效果。