CN112532610B

CN112532610B - 一种基于tcp分段的入侵防御检测方法及装置

Info

Publication number: CN112532610B
Application number: CN202011331366.9A
Authority: CN
Inventors: 左虹
Original assignee: Hangzhou DPTech Technologies Co Ltd
Current assignee: Hangzhou DPTech Technologies Co Ltd
Priority date: 2020-11-24
Filing date: 2020-11-24
Publication date: 2022-07-01
Anticipated expiration: 2040-11-24
Also published as: CN112532610A

Abstract

本申请提供一种基于TCP分段的入侵防御检测方法及装置，所述方法应用于交换设备，所述交换设备搭载了入侵防御系统；所述入侵防御系统包括对应不同的入侵防御策略的若干子系统；所述方法包括：通过TCP会话接收到首个分段报文时，迭代执行以下步骤，直到所述若干子系统均完成对所述TCP会话的入侵防御检测：从所述若干子系统中确定目标子系统，并查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N；其中，所述预设深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；基于所述目标子系统对所述TCP会话的所述会话方向上的前N个分段报文进行入侵防御检测。

Description

一种基于TCP分段的入侵防御检测方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于TCP分段的入侵防御检测方法及装置。

背景技术

当传输层采用TCP协议进行报文传输时，通常用MSS(Max Segment Size，最大分段大小)值来表示通过TCP连接传输的报文的最大分段大小。例如，IPv4协议中常规MSS值为1460，IPv6协议中常规MSS值为1440。类似的，当数据链路层进行报文传输时，通常用MTU(Maximum Transmission Unit，最大传输单元)值来表示数据链路层中传输的以太网帧的最大传输单元。

其中，当传输层中传输的报文的大小符合上述MSS值时，数据链路层中传输的以太网帧的大小通常也符合上述MTU值；因此，为了确保数据链路层中传输的以太网帧的大小符合数据链路层的MTU值，通常可以提前在传输层按照TCP连接的MSS值，对报文进行TCP分段。

在实际应用中，交换设备搭载的IPS(Intrusion Prevention System，入侵防御系统)对TCP会话进行入侵防御检测；如果与被检测的TCP会话对应的TCP连接的MSS值过小，则通过上述TCP会话接收到的报文，会被TCP分段为过多的分段报文。在这种情况下，交换设备搭载的IPS需要对各个分段报文分别进行入侵防御检测，势必导致交换设备的入侵防御检测性能和报文传输性能降低。

发明内容

有鉴于此，本申请提供一种基于TCP分段的入侵防御检测方法、装置、电子设备及存储介质，以解决在交换设备中搭载的IPS对通过TCP会话接收到的分段报文进行入侵防御检测的场景中，交换设备的入侵防御检测性能和报文传输性能降低的问题。

本申请提供一种基于TCP分段的入侵防御检测方法，所述方法应用于交换设备，所述交换设备搭载了入侵防御系统；所述入侵防御系统包括对应不同的入侵防御策略的若干子系统；所述方法包括：

通过TCP会话接收到首个分段报文时，迭代执行以下步骤，直到所述若干子系统均完成对所述TCP会话的入侵防御检测：

从所述若干子系统中确定目标子系统，并查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N；其中，所述预设深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

基于所述目标子系统对所述TCP会话的所述会话方向上的前N个分段报文进行入侵防御检测。

可选的，所述预设深度表还包括分段报文的传输协议与所述入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系；

所述查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N，包括：

查找所述预设深度表，确定与所述分段报文的传输协议、所述目标子系统和所述分段报文的会话方向对应的深度值N。

可选的，所述方法还包括：

检测所述TCP会话的MSS值是否小于与所述目标子系统对应的默认MSS值；其中，所述入侵防御系统中不同的子系统分别对应不同的默认MSS值；

如果小于，则查找预设追加深度表，确定与所述目标子系统和所述分段报文的会话方向对应的追加深度值M；其中，所述预设追加深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与追加深度值M的对应关系；

基于所述目标子系统继续进行入侵防御检测，直到所述目标子系统完成对所述TCP会话的所述会话方向上的前N+M个分段报文的入侵防御检测。

可选的，所述预设追加深度表还包括TCP会话的MSS值与所述入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系；

所述查找预设追加深度表，确定与所述目标子系统和所述分段报文的会话方向对应的追加深度值M，包括：

查找所述预设追加深度表，确定与所述TCP会话的MSS值、所述目标子系统和所述分段报文的会话方向对应的追加深度值M。

可选的，所述方法还包括：

通过所述TCP会话接收到分段报文时，在所述分段报文中添加对应于所述若干子系统的预设标识，所述预设标识用于指示对所述分段报文进行入侵防御检测的子系统；

所述目标子系统完成对所述TCP会话的入侵防御检测时，清除所述分段报文中与所述目标子系统对应的预设标识。

可选的，所述子系统包括以下示出的子系统中的一个或者多个的组合：

特征匹配子系统；

应用访问控制子系统；

流量分析子系统；

安全事件响应子系统。

可选的，所述预设深度表和所述预设追加深度表，通过以下步骤生成：

接收用户输入的配置信息，所述配置信息包括所述入侵防御系统中的子系统、分段报文的会话方向、深度值N与追加深度值M的对应关系；

生成与所述配置信息对应的预设深度表和预设追加深度表。

本申请提供一种基于TCP分段的入侵防御检测装置，所述装置应用于交换设备，所述交换设备搭载了入侵防御系统；所述入侵防御系统包括对应不同的入侵防御策略的若干子系统；所述装置包括：

控制模块，用于从所述若干子系统中确定目标子系统，并查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N；其中，所述预设深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

检测模块，用于基于所述目标子系统对所述TCP会话的所述会话方向上的前N个分段报文进行入侵防御检测。

所述控制模块，具体用于：查找所述预设深度表，确定与所述分段报文的传输协议、所述目标子系统和所述分段报文的会话方向对应的深度值N。

可选的，所述控制模块还用于：检测所述TCP会话的MSS值是否小于与所述目标子系统对应的默认MSS值；其中，所述入侵防御系统中不同的子系统分别对应不同的默认MSS值；如果小于，则查找预设追加深度表，确定与所述目标子系统和所述分段报文的会话方向对应的追加深度值M；其中，所述预设追加深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与追加深度值M的对应关系；

所述检测模块，还用于基于所述目标子系统继续进行入侵防御检测，直到所述目标子系统完成对所述TCP会话的所述会话方向上的前N+M个分段报文的入侵防御检测。

所述控制模块，具体还用于：查找所述预设追加深度表，确定与所述TCP会话的MSS值、所述目标子系统和所述分段报文的会话方向对应的追加深度值M。

可选的，所述控制模块还用于：

特征匹配子系统；

应用访问控制子系统；

流量分析子系统；

安全事件响应子系统。

生成与所述配置信息对应的预设深度表和预设追加深度表。

本申请还提供一种电子设备，包括通信接口、处理器、存储器和总线，所述通信接口、所述处理器和所述存储器之间通过总线相互连接；

所述存储器中存储机器可读指令，所述处理器通过调用所述机器可读指令，执行上述方法。

本申请还提供一种机器可读存储介质，所述机器可读存储介质存储有机器可读指令，所述机器可读指令在被处理器调用和执行时，实现上述方法。

本申请在搭载有IPS的交换设备对通过TCP会话接收到的分段报文进行入侵防御检测的场景中，交换设备可以先根据目标子系统查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N，并基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测。

一方面，本申请对IPS中对应不同入侵防御策略的不同子系统可以进行差异化配置，可以为不同的子系统分别配置在不同的会话方向上对应的深度值，从而在不影响入侵防御检测的情况下，合理地利用交换设备的资源，实现提高交换设备的入侵防御检测性能和报文传输性能。

另一方面，本申请IPS可以对通过TCP会话接收到的分段报文及时进行入侵防御检测，也不需要占用大量内存来缓存MSS值小于常规MSS值的报文，从而可以满足IPS的实时性需求，并且对交换设备的内存要求不高。

附图说明

图1是一示例性的实施例示出的一种包含入侵防御系统的系统架构示意图；

图2是一示例性的实施例示出的一种基于TCP分段的入侵防御检测方法的流程图；

图3是一示例性的实施例示出的一种基于TCP分段的入侵防御检测装置的框图；

图4是一示例性的实施例示出的一种入侵防御检测装置所在电子设备的硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

为了使本技术领域的人员更好地理解本说明书实施例中的技术方案，下面先对本说明书实施例涉及的TCP分段的相关技术，进行简要说明。

当传输层采用TCP协议进行报文传输时，通常用MSS(Max Segment Size，最大分段大小)值来表示通过TCP连接传输的报文的最大分段大小。在实际应用中，通信双方通过三次握手的过程建立TCP连接时，会分别向对方提供自身可传输的最大分段大小，即自身的MSS值，并将双方提供的MSS值的最小值，协商确定为此TCP连接的MSS值。例如，IPv4协议中常规MSS值为1460，IPv6协议中常规MSS值为1440；其中，上述“常规MSS值”不是一个规定的或确定的值，仅仅是本领域技术人员的习惯性用法，用于表示通常情况下TCP连接的MSS值，本说明书不做限定。

应当理解的是，通信双方完成三次握手的过程后，TCP连接和TCP会话都已经建立起来了，只要通信双方没有一方发出连接释放的请求，此TCP连接以及TCP连接对应的TCP会话就可以一直保持；本说明书中的“TCP连接的MSS值”和“TCP会话的MSS值”只是在具体场景中的示例性的描述，可以互相替换，并不作限制。

类似的，当数据链路层进行报文传输时，通常用MTU(Maximum TransmissionUnit，最大传输单元)值来表示数据链路层中传输的以太网帧的最大传输单元。在实际应用中，Ethernet II帧的结构为“DMAC+SMAC+Type+Data+CRC/FCS”(即“目的MAC+源MAC+域+数据+帧尾校验部分”)。例如，对于Ethernet II数据帧最大为1518Bytes，其中，DMAC为6Bytes，SMAC为6Bytes，Type为2Bytes，CRC或FCS为4Bytes，Data最大可以为1500Bytes，上述Data最大值也就是MTU值。

在实际应用中，当传输层中传输的报文的大小不大于MSS值时，数据链路层中传输的以太网帧的大小通常也不大于MTU值；因此，为了确保数据链路层中传输的以太网帧的大小不大于数据链路层的MTU值，通常可以提前在传输层按照TCP连接的MSS值，对报文进行TCP分段。其中，当TCP连接的MSS值为上述常规MSS值时，交换设备可以实现最佳的传输性能。

在实际应用中，交换设备搭载的IPS(Intrusion Prevention System，入侵防御系统)对TCP会话进行入侵防御检测；如果与被检测的TCP会话对应的TCP连接的MSS值过小，则通过上述TCP连接接收到的报文，会被TCP分段为过多的分段报文。在这种情况下，交换设备搭载的IPS需要对各个分段报文分别进行入侵防御检测，势必导致交换设备的入侵防御检测性能和报文传输性能降低。

例如，如果网络设备的MTU值过小而导致TCP连接的MSS值过小，或者黑客恶意利用传输层的TCP分段机制，向通信设备发送MSS值过小的报文，就会导致引擎查找性能降低，也会导致交换设备传输报文的性能降低；而且，上述TCP连接的MSS值越小，就会导致性能降低越明显。

在一种现有技术方案中，交换设备可以将MSS值小于常规MSS值的分段报文进行缓存，缓存至一定的数据大小后，再对上述被缓存的分段报文进行入侵防御检测，来减少调用IPS进行入侵防御检测的次数。此外，可以通过优化特征定义的方式，提取报文中靠前的部分作为特征码，例如帧头、IP头或者TCP头等，来减少IPS进行入侵防御检测的数据量。

由此可见，以上示出的现有技术方案中，一方面，由于交换设备缓存MSS值小于常规MSS值的分段报文至一定的数据大小后，才对上述被缓存的分段报文进行入侵防御检测，导致交换设备无法对被缓存的报文及时进行入侵防御检测，从而无法满足IPS的实时性需求；另一方面，由于交换设备需要对大量分段报文进行缓存，对交换设备的内存要求较高，导致实现入侵防御检测功能的交换设备的成本较高；另一方面，由于优化特征定义的方式提取报文中靠前的部分作为特征码，而实际上特征码通常存在于报文的负载部分，可能导致IPS的攻击拦截率降低。

有鉴于此，本说明书旨在提出一种，对IPS中不同的子系统进行差异化配置，来实现基于TCP分段的入侵防御检测的技术方案。

在实现时，上述基于TCP分段的入侵防御检测方法应用于交换设备，上述交换设备搭载了入侵防御系统；上述入侵防御系统包括对应不同的入侵防御策略的若干子系统；上述方法包括：

通过TCP会话接收到首个分段报文时，迭代执行以下步骤，直到上述若干子系统均完成对上述TCP会话的入侵防御检测：

从上述若干子系统中确定目标子系统，并查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N；其中，上述预设深度表包括上述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测。

由此可见，在本说明书的技术方案中，在搭载有IPS的交换设备对通过TCP会话接收到的分段报文进行入侵防御检测的场景中，交换设备可以先根据目标子系统查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N，并基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测。

相较于现有技术方案，本说明书提供的基于TCP分段的入侵防御检测方法中，一方面，本说明书中对IPS中对应不同的入侵防御策略的不同子系统可以进行差异化配置，可以为不同的子系统分别配置在不同的会话方向上对应的深度值，从而在不影响入侵防御检测的情况下，合理地利用交换设备的资源，实现提高交换设备的入侵防御检测性能和报文传输性能；另一方面，本说明书中IPS可以对通过TCP会话接收到的分段报文及时进行入侵防御检测，也不需要占用大量内存来缓存MSS值小于常规MSS值的报文，从而可以满足IPS的实时性需求，并且对交换设备的内存要求不高。

下面通过具体实施例，并结合具体的应用场景，对本说明书提供的基于TCP分段的入侵防御检测方法进行描述。

请参见图1，图1是一示例性的实施例示出的一种包含入侵防御系统的系统架构示意图。

在本说明书中，系统架构可以包括终端设备101、终端设备102、网络103、交换设备104和服务器105。

其中，终端设备101和终端设备102可以通过网络103与交换设备104交互，来接收或发送报文；网络103可以在终端设备101、终端设备102和交换设备104之间提供通信链路的介质；交换设备104搭载有IPS，交换设备104可以通过网络103实现终端设备101、终端设备102与服务器105之间的报文传输；服务器105可以对接收到的报文进行业务处理。

在实际应用中，终端设备101、102可以是支持网络功能的便携式电子设备，包括但不限于智能手机、平板电脑和台式电脑等等；网络103可以包括各种形式的网络连接；例如，可以是有线通信链路或者无线通信链路；交换设备104可以是一台交换机或者具有交换功能的服务端，上述服务端可以是由一台或多台服务器形成的服务器集群；服务器105可以是业务服务器等等。

在本说明书中，入侵防御系统可以包括对应不同的入侵防御策略的若干子系统。

在实际应用中，上述入侵防御系统中的若干子系统，可以根据子系统对应的入侵防御策略，对入网的数据包进行入侵防御检测，来确定数据包是否包含攻击报文，再决定是否允许数据包进入内网；其中，上述入网的数据包可以是交换设备通过TCP会话接收到的数据包，也可以是交换设备通过TCP会话接收到的分段报文，本说明书中不做限定。

例如，上述入侵防御策略可以为特征匹配策略、应用访问控制策略、流量控制策略等等。上述子系统可以为特征匹配子系统、应用访问子系统、流量控制子系统等等。

相应的，上述子系统可以包括但不限于以下示出的子系统中一个或多个的组合：特征匹配子系统；应用访问控制子系统；流量分析子系统；安全事件响应子系统。

其中，上述特征匹配子系统，可以根据对应的攻击特征匹配策略对通过TCP会话接收的分段报文进行入侵防御检测，以确定该分段报文的报文载荷中是否包含攻击特征；上述应用访问控制子系统，可以根据对应的应用访问控制策略对通过TCP会话接收的分段报文进行入侵防御检测，以确定该分段报文是否允许通过，是否需要执行对应的控制动作；上述流量分析子系统，可以根据对应的流量分析策略对通过TCP会话接收的分段报文进行入侵防御检测，以确定该分段报文的报文载荷的具体类型；上述安全事件响应子系统，可以根据对应的安全事件响应策略对通过TCP会话接收的分段报文进行入侵防御检测，以确定该分段报文是否命中安全事件，是否需要执行对应的安全事件响应动作。

需要说明的是，IPS包括对应不同入侵防御策略的各个子系统，可以灵活配置；在实际应用中，用户可以根据实际的安全防护需求，来灵活配置；例如，用户在为IPS配置子系统时，可以将多个不同的子系统，按照不同的检测顺序进行排列组合，从而提升交换设备入侵防御检测的性能。

请参见图2，图2是一示例性的实施例示出的一种基于TCP分段的入侵防御检测方法的流程图，上述方法应用于交换设备，上述交换设备搭载了入侵防御系统；上述入侵防御系统包括对应不同的入侵防御策略的若干子系统；上述方法执行以下步骤：

步骤201：通过TCP会话接收到首个分段报文；

步骤202：从入侵防御系统的若干子系统中确定目标子系统，并查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N；其中，上述预设深度表包括上述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

步骤203：基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测；

步骤204：若上述若干子系统均完成对上述TCP会话的入侵防御检测，则上述交换设备对上述TCP会话的入侵防御检测结束；若上述若干子系统未全部完成对上述TCP会话的入侵防御检测，则继续执行步骤202。

在本说明书中，交换设备可以通过TCP会话接收分段报文；其中，上述TCP会话是通信双方通过三次握手的过程建立起来的TCP连接对应的TCP会话；上述分段报文时基于上述TCP会话的MSS值进行TCP分段后得到的报文；而上述TCP会话的MSS值，则可以直接得到。关于建立TCP会话以及通信双方协商MSS值的实现过程，可以参考相关技术，在此不作赘述。

在本说明书中，当交换设备通过上述TCP会话接收到首个分段报文时，可以启动针对接收到的分段报文的入侵防御检测，基于上述IPS中的各个子系统，分别对接收到的报文进行入侵防御检测。其中，可以按照预先设置的检测顺序，将上述IPS中的各个子系统依次确定为目标子系统，并且每个目标子系统可以执行下述目标子系统对TCP会话进行入侵防御检测的步骤；直至上述IPS中的各个子系统迭代执行并完成下述目标子系统对TCP会话进行入侵防御检测的步骤。

下面通过具体实施例，并结合具体的应用场景，对上述目标子系统对TCP会话进行入侵防御检测的步骤进行描述。

在本说明书中，交换设备可以从IPS的若干子系统中确定目标子系统。

在实际应用中，对于TCP会话进行入侵防御检测时，用户可以根据实际需求，为IPS配置若干个对应不同的入侵防御策略的子系统，并为IPS配置检测顺序，其中，上述检测顺序可以是上述各个子系统的各种排列组合。通过TCP会话接收到首个分段报文时，交换设备可以根据上述预先配置好的检测顺序，从上述IPS预先配置好的若干子系统中，确定目标子系统，其中，上述目标子系统就是接下来对上述TCP会话进行入侵防御检测的子系统。

例如，用户可以根据实际的安全防护需求，为IPS配置攻击特征匹配子系统、应用访问控制子系统和安全事件响应子系统，并且用户可以将上述IPS的检测顺序配置为：特征匹配子系统、应用访问控制子系统和安全事件响应子系统依次进行。通过TCP会话接收到首个分段报文时，交换设备可以根据上述检测顺序，确定目标子系统为特征匹配子系统。应当理解的是，关于为IPS配置的若干子系统以及各个子系统的检测顺序，本说明书的实施例仅仅是一种示例性的描述，并不做限制。

在本说明书中，上述预设深度表包括上述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系。

在实际应用中，用户可以为IPS配置预设深度表，并且用户可以根据实际需求，为IPS中不同的子系统在不同的会话方向上设置不同的深度值N；其中，上述分段报文的会话方向就是上述TCP会话的会话方向；在实际应用中，上述会话方向可以包括请求方向和应答方向。

例如，用户为交换设备中搭载的IPS配置的预设深度表，请参见表1所示例。

子系统	会话方向	深度值N
			特征匹配子系统	请求方向	10
特征匹配子系统	应答方向	6
			应用访问控制子系统	请求方向	8
……	……	……

表1

如表1所示，用户可以为IPS中的同一个子系统在不同会话方向上设置不同的深度值N：将特征匹配子系统在请求方向上进行入侵防御检测的深度值N设置为10,将特征匹配子系统在应答方向上进行入侵防御检测的深度值N设置为6。用户还可以为IPS中不同子的系统在同一个会话方向上设置不同的深度值N：将特征匹配子系统在请求方向上进行入侵防御检测的深度值N设置为10,将应用访问控制子系统在请求方向上进行入侵防御检测的深度值N设置为8。

在实际应用中，用户也可以为IPS中不同的子系统配置对应的预设深度表。上述与IPS中不同的子系统对应的预设深度表，可以是对为IPS配置的预设深度表进一步处理而获得的。

例如，上述预设深度表保存在交换设备对应的数据库中，可以通过数据库的查询语句，对如表1所示的预设深度表进行条件查询，从而可以获得与每个子系统对应的预设深度表。应当理解的是，关于预设深度表的查询操作可参见相关技术，在此不再赘述；在本说明书，对于查找预设深度表的具体实现方式不做限制。

在本说明书中，通过上述TCP会话接收到首个分段报文时，上述交换设备可以从入侵防御系统的若干子系统中确定目标子系统，并查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N。

在实际应用中，交换设备通过上述TCP会话接收到分段报文时，就可以获得上述分段报文的会话方向；交换设备可以根据IPS预先配置好的检测顺序，确定目标子系统；根据上述目标子系统和分段报文的会话方向，就可以从预设深度表中查找出对应的深度值N。

例如，交换设备通过TCP会话接收到分段报文时，可以获得上述分段报文的会话方向为请求方向；根据IPS预先设置好的检测顺序，可以确定目标子系统为特征匹配子系统；查找如表1所示的预设深度表，根据与特征匹配子系统和请求方向对应的表项，可以确定对应的深度值N为10。

在示出的一种实施方式中，上述预设深度表还可以包括其他的表项，从而对IPS中的各个子系统进一步地差异化设置。优选的，上述预设深度表还包括分段报文的传输协议与上述入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系。上述交换设备可以查找上述预设深度表，确定与上述分段报文的传输协议、上述目标子系统和上述分段报文的会话方向对应的深度值N。

在实际应用中，用户可以为IPS配置预设深度表，上述预设深度表可以包括分段报文的传输协议与入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系。并且用户可以根据实际需求，对于分段报文的不同传输协议，为IPS中不同的子系统在不同的会话方向上设置不同的深度值N。

例如，用户为交换设备中搭载的IPS配置的预设深度表，请参见表2所示例。

表2

如表2所示，对于分段报文的不同传输协议，用户可以为IPS中的同一个子系统在同一个会话方向上设置不同的深度值N：对HTTP协议将特征匹配子系统在请求方向上进行入侵防御检测的深度值N设置为10,对FTP协议将特征匹配子系统在请求方向上进行入侵防御检测的深度值N设置为8。对于分段报文的同一个传输协议，用户还可以为IPS中不同子的系统在同一个会话方向上设置不同的深度值N：对HTTP协议将特征匹配子系统在请求方向上进行入侵防御检测的深度值N设置为10,对HTTP协议将应用访问控制子系统在请求方向上进行入侵防御检测的深度值N设置为8。

在实际应用中，交换设备通过上述TCP会话接收到分段报文时，就可以获得上述分段报文的传输协议和会话方向；交换设备可以根据IPS预先配置好的检测顺序，确定目标子系统；根据上述分段报文的传输协议、上述目标子系统和上述分段报文的会话方向，就可以从预设深度表中查找出对应的深度值N。

例如，网络设备通过TCP会话接收到分段报文时，可以获得上述分段报文的传输协议为HTTP协议，以及上述分段报文的会话方向为请求方向；根据IPS预先设置好的检测顺序，可以确定目标子系统为特征匹配子系统；查找如表2所示的预设深度表，根据与HTTP协议、特征匹配子系统和请求方向对应的表项，可以确定对应的深度值N为10。

需要说明的是，通过预设深度表为IPS配置分段报文的传输协议与入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系，从而实现根据用户的实际需求，对于分段报文的不同传输协议，为IPS中不同的子系统在不同的会话方向上设置不同的深度值N，可以更加合理地利用交换设备的资源，提高交换设备的入侵防御检测性能和报文传输性能。

在本说明书中，交换设备基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测。

在实际应用中，上述目标子系统根据上述确定的深度值N，对TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测，其中，上述目标子系统可以根据与之对应的入侵防御策略，对上述分段报文依次进行入侵防御检测。目标子系统完成对TCP会话的入侵防御检测，可以是目标子系统在上述会话方向上对前N个分段报文依次检测完成，也可以是由于目标子系统所对应的入侵防御策略执行了阻断、跳转等处理，导致虽然目标子系统在上述会话方向上对前N个分段报文并未全部检测完成，但是目标子系统对上述TCP会话的入侵防御检测完毕。应当理解的是，上述“阻断处理”仅是示例性的举例，在实际应用中可以是各种使入侵防御检测过程中断或提前完毕的情形，本说明书不做限制。

例如，目标子系统为对应着攻击特征匹配策略的特征匹配子系统，将该子系统在请求方向上的深度值N配置为10，则根据上述深度值，对TCP会话在请求方向上的前10个分段报文进行入侵防御检测；如果上述入侵防御检测过程未被阻断，则对前10个分段报文依次进行入侵防御检测后，可以执行其他步骤；若前10个分段报文中某个分段报文得到的检测结果是阻断响应，可以发送阻断日志，直接阻断当前的TCP会话，还可以下发快转标记，此后上述TCP会话直接由驱动快转模块进行阻断。关于驱动快转模块的具体实现方式，可以参考相关技术，在此不作赘述。

在示出的一种实施方式中，预设追加深度表包括上述入侵防御系统中的子系统、分段报文的会话方向与追加深度值M的对应关系。

在实际应用中，用户可以为IPS配置预设追加深度表，上述预设追加深度表可以包括入侵防御系统中的子系统、分段报文的会话方向与追加深度值M的对应关系。并且用户可以根据实际需求，为IPS中不同的子系统在不同的会话方向上设置不同的追加深度值M。

例如，用户为交换设备中搭载的IPS配置的预设追加深度表，请参见表3所示例。

子系统	会话方向	追加深度值M
			特征匹配子系统	请求方向	4
特征匹配子系统	应答方向	1
			应用访问控制子系统	请求方向	2
……	……	……

表3

如表3所示，用户可以为IPS中的同一个子系统在不同会话方向上设置不同的追加深度值M：将特征匹配子系统在请求方向上进行入侵防御检测的追加深度值M设置为4,将特征匹配子系统在应答方向上进行入侵防御检测的追加深度值M设置为1。用户还可以为IPS中不同子的系统在同一个会话方向上设置不同的追加深度值M：将特征匹配子系统在请求方向上进行入侵防御检测的追加深度值M设置为4,将应用访问控制子系统在请求方向上进行入侵防御检测的追加深度值M设置为2。

在实际应用中，用户也可以为IPS中不同的子系统配置对应的预设追加深度表。上述与IPS中不同的子系统对应的预设追加深度表，可以是对为IPS配置的预设追加深度表进一步处理而获得的。关于根据为IPS配置的预设追加深度表获得与IPS中不同的子系统对应的预设追加深度表的具体实现方式，与根据为IPS配置的预设深度表获得与IPS中不同的子系统对应的预设深度表的过程类似，在此不作赘述。

在示出的一种实施方式中，在交换设备基于目标子系统对TCP会话的上述会话方向上的前N个分段报文完成入侵防御检测前，检测上述TCP会话的MSS值是否小于与上述目标子系统对应的默认MSS值；如果小于，则查找预设追加深度表，确定与上述目标子系统和上述分段报文的会话方向对应的追加深度值M。

在实际应用中，交换设备通过TCP会话接收到分段报文时，就可以获得上述TCP会话的MSS值；交换设备还可以获取IPS中各子系统对应的默认MSS值。交换设备基于目标子系统对TCP会话的上述会话方向上的前N个分段报文完成入侵防御检测前，可以检测上述TCP会话的MSS值是否小于与上述目标子系统对应的默认MSS值；其中，TCP会话的MSS值是通信双方三次握手的过程中协商确定的，IPS中不同的子系统分别对应不同的默认MSS值。如果上述TCP会话的MSS值小于与上述目标子系统对应的默认MSS值，交换设备根据上述目标子系统和分段报文的会话方向，就可以从预设追加深度表中查找出对应的追加深度值M。

例如，交换设备获取到IPS中特征匹配子系统的默认MSS值为1460，TCP会话的MSS值为1028；交换设备基于特征匹配子系统对上述TCP会话在请求方向上的前10个分段报文完成入侵防御检测前，检测到上述TCP会话的MSS值小于特征匹配子系统的默认MSS值；则可以查找如表3所示的预设追加深度表，根据与特征匹配子系统和请求方向对应的预设追加深度表项，可以确定对应的追加深度值M为4。

在示出的另一种实施方式中，上述预设追加深度表还可以包括其他的表项，从而对IPS中的各个子系统进一步地差异化设置。优选的，上述预设追加深度表还包括TCP会话的MSS值与上述入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系。上述交换设备可以查找上述预设追加深度表，确定与上述TCP会话的MSS值、上述目标子系统和上述分段报文的会话方向对应的追加深度值M。

在实际应用中，用户可以为IPS配置预设追加深度表，上述预设追加深度表可以包括TCP会话的MSS值与入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系。并且用户可以根据实际需求，对于TCP会话的不同MSS值，为IPS中不同的子系统在不同的会话方向上设置不同的追加深度值M。

例如，用户为交换设备中搭载的IPS配置的预设追加深度表，请参见表4所示例。

TCP会话的MSS值	子系统	会话方向	追加深度值M
				800-1460	特征匹配子系统	请求方向	1
500-800	特征匹配子系统	请求方向	2
				500以下	特征匹配子系统	请求方向	4
1000-1460	应用访问控制子系统	请求方向	2
					……	……	……

表4

如表4所示，对于TCP会话的不同MSS值，用户可以为IPS中的同一个子系统在同一个会话方向上设置不同的追加深度值M：对TCP会话的MSS值为800-1460将特征匹配子系统在请求方向上的追加深度值M设置为1,对TCP会话的MSS值为500-800将特征匹配子系统在请求方向上的追加深度值M设置为2,对TCP会话的MSS值为500以下将特征匹配子系统在请求方向上的追加深度值M设置为4。对于TCP会话的相同MSS值，用户还可以为IPS中不同子的系统在同一个会话方向上设置不同的追加深度值M：TCP会话的MSS值为1028时，特征匹配子系统在请求方向上的追加深度值M设置为1,应用访问控制子系统在请求方向上的追加深度值M设置为2。

应当理解的是，用户为IPS配置预设追加深度表时，如表4所示的“TCP会话的MSS值”，可以是预先设置的MSS档位，也可以是具体的MSS值，本说明书不做限定。

在实际应用中，交换设备通过TCP会话接收到分段报文时，就可以获得上述TCP会话的MSS值；交换设备还可以获取IPS中各子系统对应的默认MSS值。如果上述TCP会话的MSS值小于与上述目标子系统对应的默认MSS值，交换设备根据上述TCP会话的MSS值、目标子系统和分段报文的会话方向，就可以从预设追加深度表中查找出对应的追加深度值M。

例如，交换设备获取到IPS中特征匹配子系统的默认MSS值为1460，TCP会话的MSS值为1028；交换设备基于特征匹配子系统对上述TCP会话在请求方向上的前10个分段报文完成入侵防御检测前，检测到上述TCP会话的MSS值小于特征匹配子系统的默认MSS值；则可以查找如表4所示的预设追加深度表，根据与TCP会话的MSS值、特征匹配子系统和请求方向对应的预设追加深度表项，可以确定对应的追加深度值M为1。

需要说明的是，通过预设追加深度表为IPS配置TCP会话的MSS值与上述入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系，从而实现根据实际需求，对于TCP会话的不同MSS值，为IPS中不同的子系统在不同的会话方向上设置不同的追加深度值M，可以在合理利用交换设备的检测资源的情况下，进一步保证IPS的攻击拦截率。

在示出的一种实施方式中，交换设备基于上述目标子系统继续进行入侵防御检测，直到上述目标子系统完成对上述TCP会话的上述会话方向上的前N+M个分段报文的入侵防御检测。

在实际应用中，上述目标子系统可以根据与之对应的入侵防御策略，对通过上述TCP会话接收到的前N个分段报文依次进行入侵防御检测；如果检测到第N个报文时未被阻断，并且检测到上述TCP会话的MSS值小于与上述目标子系统对应的默认MSS值，需要追加深度，则确定对应的追加深度值M，并基于上述目标子系统继续进行入侵防御检测，直到上述目标子系统完成对上述TCP会话的上述会话方向上的前N+M个分段报文的入侵防御检测。关于阻断等情况导致的虽然目标子系统在上述会话方向上对前N+M个分段报文并未依次检测完成，但是目标子系统对上述TCP会话的入侵防御检测完毕的情形，在此不再赘述。

例如，目标子系统确定为应用访问控制子系统，应用访问控制子系统在请求方向上预先设置的深度值N为8，在应答方向上预先设置的深度值N为12，应用访问控制子系统对应的默认MSS值为1460；TCP会话的会话方向为请求方向，上述TCP会话的MSS值为1028，预设追加深度表中TCP会话的MSS值为1028时应用访问控制子系统在请求方向上的追加深度值M为2，通过TCP会话接收的分段报文的传输协议为HTTP协议。根据预设深度表，应用访问控制子系统对TCP会话在请求方向上的前8个分段报文进行入侵防御检测；如果上述入侵防御检测过程未被阻断，则追加深度2，继续对TCP会话在请求方向上的第9个分段报文进行入侵防御检测，直到应用访问控制子系统完成对上述TCP会话的上述会话方向上的前10(即8+2)个分段报文的入侵防御检测。

在示出的一种实施方式中，通过上述TCP会话接收到分段报文时，交换设备可以在上述分段报文中添加对应于上述若干子系统的预设标识，上述预设标识用于指示对上述分段报文进行入侵防御检测的子系统；上述目标子系统完成对上述TCP会话的入侵防御检测时，清除上述分段报文中与上述目标子系统对应的预设标识。

在实际应用中，上述预设标识可以是MSS业务标识，也可以是其他用于指示对上述分段报文进行入侵防御检测的子系统的预设标识。上述MSS业务标识，具体可以是报文中的FLAG标志位，也可以是其他标识。交换设备通过TCP会话接收到分段报文时，可以为上述分段报文添加对应于上述若干子系统的预设标识，用于指示对上述分段报文进行入侵防御检测的子系统；某个目标子系统完成对上述TCP会话的入侵防御检测时，清除与该目标子系统对应的预设标识，表示不再需要该预设标识对应的目标子系统对上述分段报文执行入侵防御检测。

例如，用户为IPS配置了攻击特征匹配子系统、应用访问控制子系统和安全事件响应子系统，则交换设备通过TCP会话接收到分段报文时，可以为上述分段报文添加分别与攻击特征匹配子系统、应用访问控制子系统和安全事件响应子系统对应的MSS业务标识；交换设备根据预设的检测顺序以及MSS业务标识，确定目标子系统为特征匹配子系统，当特征匹配子系统完成对上述TCP会话的入侵防御检测时，清除与特征匹配子系统对应的MSS业务标识。

需要说明的是，为通过TCP会话接收到的分段报文添加、清除预设标识，由于已完成入侵防御检测的目标子系统对应的MSS业务标识已被清除，此后交换设备再确定目标子系统时，就不会再将已完成入侵防御检测的子系统作为目标子系统，可以避免交换设备重复将某个子系统确定为目标子系统，避免进行重复的入侵防御检测，从而提升交换设备的入侵防御检测性能。

在示出的一种实施方式中，上述预设深度表和上述预设追加深度表，通过以下步骤生成：交换设备接收用户输入的配置信息，上述配置信息包括上述IPS中的子系统、分段报文的会话方向、深度值N与追加深度值M的对应关系；生成与上述配置信息对应的预设深度表和预设追加深度表。

应当理解的是，本说明书中的预设深度表和预设追加深度表，可以是独立的两个表，也可以是基于一个总表得到的两个子表，其中，上述总表可以至少包括入侵防御系统中的子系统、分段报文的会话方向、深度值N与追加深度值M的对应关系。关于预设深度表和预设追加深度表的具体实现方式，本说明书并不做限制。

在实际应用中，交换设备可以为用户提供配置界面，使用户通过该配置界面，输入配置信息，上述配置信息可以包括上述入侵防御系统中的子系统、分段报文的会话方向、深度值N与追加深度值M的对应关系。其中，上述预设深度表中的深度值N以及预设追加深度表中的追加深度值M，可以是用户输入的配置信息，也可以是IPS在运行的过程中自动学习的。优选的，上述用户输入的深度值可以是统计攻击命中深度得来的经验值，上述用户输入的追加深度值可以是统计TCP会话的不同MSS值时的攻击命中深度得来的经验值与深度值的差值。关于统计攻击命中深度得到经验值、以及IPS自动学习检测深度的具体实现方式，可以参考相关技术，本说明书不做限制。

在本说明书中，若上述若干子系统均完成对上述TCP会话的入侵防御检测，则上述交换设备完成对上述TCP会话的入侵防御检测；若上述若干子系统未全部完成对上述TCP会话的入侵防御检测，则从入侵防御系统的若干子系统中确定下一个目标子系统，并迭代执行上述目标子系统对TCP会话进行入侵防御检测的步骤。

例如，用户可以根据实际需求，为IPS配置了攻击特征匹配子系统、应用访问控制子系统和安全事件响应子系统，并且用户可以将检测顺序配置为：特征匹配子系统、应用访问控制子系统和安全事件响应子系统依次进行。通过TCP会话接收到首个分段报文时，交换设备可以根据上述预先配置好的检测顺序，确定目标子系统为特征匹配子系统；基于特征匹配子系统完成对上述TCP会话的入侵防御检测后，交换设备可以确定下一个目标子系统为应用访问控制子系统，并基于特征匹配子系统对上述TCP会话的入侵防御检测；直到安全事件响应子系统完成对上述TCP会话的入侵防御检测后，交换设备完成对上述TCP会话的入侵防御检测。

在本说明书的技术方案中，在搭载有IPS的交换设备对通过TCP会话接收到的分段报文进行入侵防御检测的场景中，交换设备可以先根据目标子系统查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N，并基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测。

一方面，本说明书中对IPS中对应不同的入侵防御策略的不同子系统可以进行差异化配置，可以为不同的子系统分别配置在不同的会话方向上对应的深度值，从而在不影响入侵防御检测的情况下，合理地利用交换设备的资源，实现提高交换设备的入侵防御检测性能和报文传输性能；另一方面，本说明书中IPS可以对通过TCP会话接收到的分段报文及时进行入侵防御检测，也不需要占用大量内存来缓存MSS值小于常规MSS值的报文，从而可以满足IPS的实时性需求，并且对交换设备的内存要求不高。

进一步地，在本说明书的技术方案中，对IPS中不同的子系统对应的追加深度值可以进行差异化配置，可以根据不同的子系统基于初始的预设深度值进行入侵防御检测过程中的实际需求，为不同的子系统分别配置在不同的会话方向上对应的追加深度值，从而在TCP会话的MSS值小于目标子系统的默认MSS值时，可以根据实际需求灵活地追加不同深度，使目标子系统根据追加后的深度值完成对TCP会话的入侵防御检测，从而在合理利用交换设备的检测资源的情况下，保证IPS的攻击拦截率。

与上述方法实施例对应地，本说明书还提供了一种基于TCP分段的入侵防御检测装置的实施例。

请参见图3，图3是一示例性的实施例示出的一种基于TCP分段的入侵防御检测装置的框图，上述装置应用于交换设备，上述交换设备搭载了入侵防御系统；上述入侵防御系统包括对应不同的入侵防御策略的若干子系统，上述装置可以包括如下所示模块：

控制模块301，用于从上述若干子系统中确定目标子系统，并查找预设深度表，确定与上述目标子系统和上述分段报文的会话方向对应的深度值N；其中，上述预设深度表包括上述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

检测模块302，用于基于上述目标子系统对上述TCP会话的上述会话方向上的前N个分段报文进行入侵防御检测。

在本实施例中，可选的，上述预设深度表还包括分段报文的传输协议与上述入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系；

上述控制模块301具体用于：查找上述预设深度表，确定与上述分段报文的传输协议、上述目标子系统和上述分段报文的会话方向对应的深度值N。

在本实施例中，可选的，上述控制模块301还用于：检测上述TCP会话的MSS值是否小于与上述目标子系统对应的默认MSS值；其中，上述入侵防御系统中不同的子系统分别对应不同的默认MSS值；如果小于，则查找预设追加深度表，确定与上述目标子系统和上述分段报文的会话方向对应的追加深度值M；其中，上述预设追加深度表包括上述入侵防御系统中的子系统、分段报文的会话方向与追加深度值M的对应关系；

上述检测模块302，还用于：基于上述目标子系统继续进行入侵防御检测，直到上述目标子系统完成对上述TCP会话的上述会话方向上的前N+M个分段报文的入侵防御检测。

在本实施例中，可选的，上述预设追加深度表还包括TCP会话的MSS值与上述入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系；

上述控制模块301，具体还用于：查找上述预设追加深度表，确定与上述TCP会话的MSS值、上述目标子系统和上述分段报文的会话方向对应的追加深度值M。

在本实施例中，可选的，上述控制模块301，还用于：通过上述TCP会话接收到分段报文时，在上述分段报文中添加对应于上述若干子系统的预设标识，上述预设标识用于指示对上述分段报文进行入侵防御检测的子系统；上述目标子系统完成对上述TCP会话的入侵防御检测时，清除上述分段报文中与上述目标子系统对应的预设标识。

在本实施例中，可选的，上述子系统包括以下示出的子系统中的一个或者多个的组合：特征匹配子系统；应用访问控制子系统；流量分析子系统；安全事件响应子系统。

在本实施例中，可选的，上述预设深度表和上述预设追加深度表，通过以下步骤生成：接收用户输入的配置信息，上述配置信息包括上述入侵防御系统中的子系统、分段报文的会话方向、深度值N与追加深度值M的对应关系；生成与上述配置信息对应的预设深度表和预设追加深度表。

此外，本说明书还提供了一种基于TCP分段的入侵防御检测装置所在的电子设备的实施例。

与上述方法实施例对应地，本说明书还提供了一种基于TCP分段的入侵防御检测装置的实施例。本说明书的基于TCP分段的入侵防御检测装置的实施例可以应用在电子设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在存储设备的处理器，将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，请参见图4，图4是一示例性的实施例示出的一种入侵防御检测装置所在电子设备的硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常根据该电子设备的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例只是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

在一个典型的配置中，计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

以上所述仅为本说明书一个或多个实施例的较佳实施例而已，并不用以限制本说明书一个或多个实施例，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例保护的范围之内。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims

1.一种基于TCP分段的入侵防御检测方法，其特征在于，所述方法应用于交换设备，所述交换设备搭载了入侵防御系统；所述入侵防御系统包括对应不同的入侵防御策略的若干子系统；所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述预设深度表还包括分段报文的传输协议与所述入侵防御系统中的子系统、分段报文的会话方向、深度值N的对应关系；

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

4.根据权利要求3所述的方法，其特征在于，所述预设追加深度表还包括TCP会话的MSS值与所述入侵防御系统中的子系统、分段报文的会话方向、追加深度值M的对应关系；

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述子系统包括以下示出的子系统中的一个或者多个的组合：

特征匹配子系统；

应用访问控制子系统；

流量分析子系统；

安全事件响应子系统。

7.根据权利要求3或4所述的方法，其特征在于，所述预设深度表和所述预设追加深度表，通过以下步骤生成：

生成与所述配置信息对应的预设深度表和预设追加深度表。

8.一种基于TCP分段的入侵防御检测装置，其特征在于，所述装置应用于交换设备，所述交换设备搭载了入侵防御系统；所述入侵防御系统包括对应不同的入侵防御策略的若干子系统；所述装置包括：

控制模块，用于通过TCP会话接收到首个分段报文时，从所述若干子系统中确定目标子系统，并查找预设深度表，确定与所述目标子系统和所述分段报文的会话方向对应的深度值N；其中，所述预设深度表包括所述入侵防御系统中的子系统、分段报文的会话方向与深度值N的对应关系；

检测模块，用于基于所述目标子系统对所述TCP会话的所述会话方向上的前N个分段报文进行入侵防御检测，直到所述若干子系统均完成对所述TCP会话的入侵防御检测。

9.一种电子设备，其特征在于，包括通信接口、处理器、存储器和总线，所述通信接口、所述处理器和所述存储器之间通过总线相互连接；

所述存储器中存储机器可读指令，所述处理器通过调用所述机器可读指令，执行权利要求1至7任一项所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可读指令，所述机器可读指令在被处理器调用和执行时，实现权利要求1至7任一项所述的方法。