随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公室自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高,人们享受着计算机和网络带给我们的便捷性,并由此催生出各种产业。但是网络连接的安全问题日益突出。然而更可怕的是最近新出现的一种攻击方式：APT攻击,APT攻击的全称叫做高持续性威胁攻击,是指那些有着精心的准备,极强的针对性,隐蔽性,高渗透性的网络入侵。APT攻击的出现,使得原来的被动防御成为了马奇诺防线,APT的攻击者可以轻而易举的深入到企业内部,窃取重要的资料。本文设计实现的邮箱服务器APT攻击检测与防御工具是运行在windows server平台,保护邮箱服务器免受APT攻击。该防御工具主要由三个部分组成：DTAS Agent、APT Filter Scanning以及Web Configuration。DTAS Agent主要功能是负责进一步处理ATSE(Aggressive Threat Scan Engine)检测出来的威胁,主要包括将隔离下来的文件上传到DTAS(Dynamic Threat Analysis Systern)服务器,从DTAS服务器返回结果,根据结果在邮件头部加入新的标记并重新发送。APTFilter Scanning是处理邮件扫描的逻辑,Web Configuration是该工具的配置页面,邮箱服务器管理员可以通过这个部分对工具的参数进行配置来完成本公司的防御策略。现在该工具已经完成了测试,并在趋势科技公司的邮箱服务器上成功的运行。我在该项目中的主要工作是参与需求讨论,完成Web Configuration的全部代码编写和DTAS Agent的一部分代码的编写,以及测试。本论文首先介绍了研究背景,分析了目前的网络安全现状以及APT攻击的情况并列举了几个APT攻击的事例,阐述了论文的主要工作,然后介绍项目中使用的相关的技术和开发工具。随后对APT攻击检测与防御工具进行了需求分析、概要设计以及详细设计和实现。需求分析主要从功能性需求和非功能性需求两个方面进行了分析,概要设计部分介绍了三个子系统的工作流程,详细设计和实现部分介绍了实现的原理和技术细节。最后对现阶段的工作进行总结和展望。