[发明专利]一种基于TCP分段的入侵防御检测方法及装置

权利要求书

1.一种基于TCP分段的入侵防御检测方法，其特征在于，所述方法应用于交换设备，所述交换设备搭载了入侵防御系统；所述入侵防御系统包括对应不同的入侵防御策略的若干子系统；所述方法包括：

通过TCP会话接收到首个分段报文时，迭代执行以下步骤，直到所述若干子系统均完成对所述TCP会话的入侵防御检测：

从所述若干子系统中确定目标子系统，并查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N；其中，所述预设深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

基于所述目标子系统对所述TCP会话的所述会话方向上的前N个分段报文进行入侵防御检测。

2.根据权利要求1所述的方法，其特征在于，所述预设深度表还包括分段报文的传输协议与所述入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系；

所述查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N，包括：

查找所述预设深度表，确定与所述分段报文的传输协议、所述目标子系统和所述分段报文的会话方向对应的深度值N。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

检测所述TCP会话的MSS值是否小于与所述目标子系统对应的默认MSS值；其中，所述入侵防御系统中不同的子系统分别对应不同的默认MSS值；

如果小于，则查找预设追加深度表，确定与所述目标子系统和所述分段报文的会话方向对应的追加深度值M；其中，所述预设追加深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与追加深度值M的对应关系；

基于所述目标子系统继续进行入侵防御检测，直到所述目标子系统完成对所述TCP会话的所述会话方向上的前N+M个分段报文的入侵防御检测。

4.根据权利要求3所述的方法，其特征在于，所述预设追加深度表还包括TCP会话的MSS值与所述入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系；

所述查找预设追加深度表，确定与所述目标子系统和所述分段报文的会话方向对应的追加深度值M，包括：

查找所述预设追加深度表，确定与所述TCP会话的MSS值、所述目标子系统和所述分段报文的会话方向对应的追加深度值M。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

通过所述TCP会话接收到分段报文时，在所述分段报文中添加对应于所述若干子系统的预设标识，所述预设标识用于指示对所述分段报文进行入侵防御检测的子系统；

所述目标子系统完成对所述TCP会话的入侵防御检测时，清除所述分段报文中与所述目标子系统对应的预设标识。

6.根据权利要求1所述的方法，其特征在于，所述子系统包括以下示出的子系统中的一个或者多个的组合：

特征匹配子系统；

应用访问控制子系统；

流量分析子系统；

安全事件响应子系统。

7.根据权利要求3或4所述的方法，其特征在于，所述预设深度表和所述预设追加深度表，通过以下步骤生成：

接收用户输入的配置信息，所述配置信息包括所述入侵防御系统中的子系统、分段报文的会话方向、深度值N与追加深度值M的对应关系；

生成与所述配置信息对应的预设深度表和预设追加深度表。