[发明专利]一种入侵防御方法、系统及相关设备

权利要求书

1.一种入侵防御方法，其特征在于，包括：

接收待检测的应用层协议数据；

若根据预设的规则判断所述待检测应用层协议数据为RPC协议数据，则存储待检测的RPC协议数据；

若根据预设的规则判断待检测应用层协议数据不是RPC协议数据，读取所述待检测应用层协议数据的四元组数据；判断预设关联表中是否存在所述四元组数据关联的五元组数据;若存在关联的五元组数据，则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接，并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据;若是，则存储待检测的RPC协议数据；

判断所述待检测的RPC协议数据中是否包含分片数据;

若包含分片数据，则将分片数据汇总;

将汇总后的分片数据发送至入侵检测系统进行检测。

2.根据权利要求1所述的方法，其特征在于，还包括：

判断当前存储的RPC协议数据是否包含服务调用指令数据;

若包含服务调用指令数据，则从当前存储的RPC协议数据中解析出子连接的目的端口号；

将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中，其中，所述子连接的目的端口号为目标四元组数据中的目的端口。

3.根据权利要求2所述的方法，其特征在于，所述将目标四元组数据与当前数据连接的五元组数据的关联关系记录在预设关联表中，包括：

计算目标四元组数据与当前数据连接的五元组数据的哈希表；

将所述目标四元组数据的哈希表与当前数据连接的五元组数据的哈希表之间的关联关系记录在预设关联表中。

4.根据权利要求1或2所述的方法，其特征在于，还包括：

当判定待检测应用层协议数据的协议类型之后，为所述待检测的应用层协议数据添加流量标签，以指示所述待检测的应用层协议数据的协议种类。

5.一种入侵防御系统，其特征在于，包括：

接收单元，用于接收待检测的应用层协议数据；

判断单元，用于若根据预设的规则判断所述待检测应用层协议数据为RPC协议数据，则存储待检测的RPC协议数据；

第二处理模块，用于若根据预设的规则判断所述待检测应用层协议数据不为RPC协议数据，则读取所述待检测应用层协议数据的四元组数据；

第三处理模块，用于判断预设关联表中是否存在所述四元组数据关联的五元组数据，若存在关联的五元组数据，则确定关联的五元组数据对应的数据连接为所述四元组数据的父连接，并根据所述四元组数据的父连接上记录的流量标签判断所述待检测应用层协议数据是否为RPC协议数据;

第一处理模块，用于判断所述待检测的RPC协议数据中是否包含分片数据;

汇总模块，若包含分片数据，则将分片数据汇总；

发送模块，用于将汇总后的分片数据发送至入侵检测系统进行检测。

6.一种计算机装置，其特征在于，所述计算机装置包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至4中任意一项所述方法的步骤。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如权利要求1至4中任意一项所述方法的步骤。