[发明专利]一种入侵防御方法、系统及相关设备

权利要求书

1.一种入侵防御方法，其特征在于，包括：

基于至少两层通信协议解析待检测流量数据，得到各个通信协议层对应的报文数据，所述通信协议层根据应用程序所采用的应用层协议的类型而确定；

将解析得到的报文数据分别与各自所属的通信协议层对应的弱特征数据库进行匹配；

根据匹配结果计算各个通信协议层的风险值；

根据各个通信协议层的风险值判断所述待检测流量数据是否存在安全风险；

其中，根据匹配结果计算各个通信协议层的风险值，包括：

计算每个通信协议层对应的报文数据匹配成功的所有弱特征的权重累计值作为风险值。

2.根据权利要求1所述的方法，其特征在于，所述根据各个通信协议层的风险值判断所述待检测流量数据是否存在安全风险，包括：

判断是否存在目标通信协议层，所述目标通信协议层对应的报文数据的风险值超过检出阈值；

若存在目标通信协议层，则判定所述待检测流量数据存在安全风险。

3.根据权利要求2所述的方法，其特征在于，还包括：

判断所述待检测流量数据匹配成功的弱特征是否包含预设组合，若包含，则判定所述待检测流量数据存在安全风险。

4.根据权利要求3所述的方法，其特征在于，还包括：

判断各个通信协议层对应的报文数据的风险值是否均大于各自的预设阈值，若均大于，则判定所述待检测流量数据存在安全风险。

5.根据权利要求1至4任意一项所述的方法，其特征在于，所述至少两层通信协议包括网际互连协议IP协议、传输控制协议TCP协议以及应用程序协议中的两种或三种。

6.根据权利要求1至4任意一项所述的方法，其特征在于，所述基于至少两层通信协议解析待检测流量数据，包括：

依次解析IP协议层数据报文、TCP协议层数据报文、HTTP协议头部数据报文以及HTTP协议有效载荷。

7.一种入侵防御系统，其特征在于，包括：

解析模块，基于至少两层通信协议解析待检测流量数据，得到各个通信协议层对应的报文数据，所述通信协议层根据应用程序所采用的应用层协议的类型而确定；

匹配模块，将解析得到的报文数据分别与各自所属的通信协议层对应的弱特征数据库进行匹配；

计算模块，根据匹配结果计算各个通信协议层的风险值；

第一处理模块，根据各个通信协议层的风险值判断所述待检测流量数据是否存在安全风险；

所述计算模块包括：

计算单元，计算每个通信协议层对应的报文数据匹配成功的所有弱特征的权重累计值作为风险值。

8.一种计算机装置，其特征在于，所述计算机装置包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至6中任意一项所述方法的步骤。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如权利要求1至6中任意一项所述方法的步骤。