[发明专利]一种入侵防护方法和系统

权利要求书

1.一种入侵防护系统，其特征在于，包括：

报文地址分析单元，分析和提取报文的源IP地址；

报文流长度分析单元，分析和提取报文所请求的事项和报文流的长度，

报文变量分析单元，提取和分析报文中所含有的变量，

请求行为分析单元，记录报文的请求频率，

入侵表记录单元，记录发生过的入侵报文的特征，

查询单元，将源IP地址、报文所请求的事项和报文流的长度、报文中所含有的变量和报文中所包含的请求在入侵表记录单元中进行查询，

待观察表单元，接收查询单元发送来的可疑报文流，

虚拟运行单元，接收来自待观察表单元的可疑报文流并进行虚拟运行，监测可疑报文流的行为；

信任表记录单元，记录信任的报文的源IP地址；

其中，入侵表记录单元，记录的特征包括：入侵报文的源IP地址、报文所请求的事项和对应的报文流的长度，记录入侵报文的请求事项和对应所使用的变量；查询单元在信任表记录单元中，对得到的报文流源IP地址进行查询，若所述报文流源IP地址存在于信任表之中，则无需进行后续的查询步骤；此时不在入侵表记录单元中进行查询；

在所述入侵防护系统中，运行入侵防护方法，包括：

步骤一：报文地址分析单元对报文的源IP地址进行分析，

报文流长度分析单元对报文所请求的事项和报文流的长度进行分析和提取，

报文变量分析单元对报文中所含有的变量进行提取和分析，

请求行为分析单元对报文中所包含的请求频率进行记录和分析，

步骤二：查询单元在入侵表记录单元中，对步骤一中得到的报文流源IP地址进行查询，如果查询结果为“有”，则将此报文流加入到待观察表单元，如果查询结果为“无”，则对步骤一中得到的请求的事项和报文流的长度进行查询，如果查询结果为“不匹配”，则将此报文流加入到待观察表单元，如果查询结果为“匹配”，则对步骤一得到的报文中所含有的变量进行查询和分析，若变量与修改IP地址相关，或者与扫描服务器端口相关，则将此报文流加入到待观察表单元，若不相关，则对步骤一中得到的报文中所包含的请求频率进行分析，若请求频率大于预定值时，则将此报文流加入到待观察表单元，若请求中不包含获取入侵相关的信息，则放行此报文流；

步骤三：待观察表单元收到来自查询单元的报文流后，将其发送到虚拟运行单元中进行运行，虚拟运行单元监测报文流是否有入侵行为，若“有”则阻止此报文流，若“无”则在正常系统中执行此报文流；

请求行为分析单元，当报文流的请求行为一次要求过多的权限时，将此报文流加入到待观察列表；

请求行为分析单元，当报文流的请求行为涉及篡改关键信息时，将此报文流加入到待观察列表；

当报文流的长度和与之匹配的请求的事项所记录的标准长度相比，大于等于标准长度的30％时，判断为“不匹配”，否则判断为“匹配”；

所述虚拟运行单元是正常系统的备份，但其中的数据量是正常系统的百分之一至十分之一，并且关键数据均为虚拟数据。