[发明专利]网络入侵防御/检测系统及方法

权利要求书

1.一种网络入侵防御/检测方法，其特征在于，包括:

对从网络中获取的数据包进行重组；

当重组后获取的数据流的长度大于或等于第n阶段规则对应的数据流长度的第n临界值时，对重组获取的数据流利用第n阶段规则进行规则匹配检测；

若重组获取的数据流匹配所述第n阶段规则，则对重组获取的数据流进行相应的预定义处理，并结束当前数据流的重组及检测；否则，继续对从网络中获取的数据包进行重组，以使重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时，对重组获取的数据流利用第n+1阶段规则进行规则匹配检测；

其中，所述第n临界值小于所述第n+1临界值，n为正整数。

2.根据权利要求1所述的方法，其特征在于，当重组后获取的数据流的长度大于或等于第n阶段规则对应的数据流长度的第n临界值时，对重组获取的数据流利用第n阶段规则进行规则匹配检测之前，还包括：

根据对预设规则库中规则的统计结果，确定每一阶段规则对应的数据流长度的临界值；

将预设规则库中的规则对应划分为每个阶段规则。

3.根据权利要求2所述的方法，其特征在于，根据对预设规则库中规则的统计结果，确定每一阶段规则对应的数据流长度的临界值，具体包括：

遍历预设规则库中的所有规则，获取每个数据流长度对应的规则数量值，每个数据流长度为预设规则库中的规则对应的数据流长度；

根据每个数据流长度对应的规则数量值及预设规则库中所有规则的数量值，计算每个数据流长度对应的规则占预设规则库中所有规则的比例值；

从获取的全部比例值中选取最大的X个比例值，其中，X为数据流重组时选用的临界值个数，X大于1且小于等于全部比例值的个数；

将该X个比例值对应的X个数据流长度按照由小到大的顺序，对应确定为数据流重组中的第1阶段规则对应的数据流长度的第1临界值至第X阶段规则对应的数据流长度的第X临界值。

4.根据权利要求3所述的方法，其特征在于，遍历预设规则库中的所有规则，获取每个数据流长度对应的规则数量值，具体包括：

获取预设规则库中未遍历的规则；

获取该规则对应的需要重组的数据流长度，将该数据流长度对应的规则数量值加1，并将该规则标识为已遍历；

当预设规则库中的所有规则已遍历时，获取每个数据流长度对应的规则数量值，否则，继续对未遍历的规则进行遍历，以统计规则数量值。

5.根据权利要求3所述的方法，其特征在于，遍历预设规则库中的所有规则，获取每个数据流长度对应的规则数量值，具体包括：

获取预设规则库中每个规则对应的数据流长度；

统计每个数据流长度的规则数量值。

6.一种网络入侵防御/检测系统，其特征在于，包括：

重组模块，用于对从网络中获取的数据包进行重组；以及在重组获取的数据流不匹配第n阶段规则时，继续对从网络中获取的数据包进行重组；

第一处理模块，用于当重组后获取的数据流长度大于或等于第n阶段规则对应的数据流长度的第n临界值时，对重组获取的数据流利用第n阶段规则进行规则匹配检测；以及当重组后的数据流长度大于或等于第n+1阶段规则对应的数据流长度的第n+1临界值时，对重组获取的数据流利用第n+1阶段规则进行规则匹配检测；

第二处理模块，用于若重组获取的数据流匹配所述第n阶段规则，则对重组获取的数据流进行相应的预定义处理，并结束当前数据流的重组及检测；

其中，所述第n临界值小于第n+1临界值，n为正整数。

7.根据权利要求6所述的系统，其特征在于，还包括：

确定模块，用于根据对预设规则库中规则的统计结果，确定每一阶段规则对应的数据流长度的临界值；

分组模块，用于将预设规则库中的规则对应划分为每个阶段规则。