本发明涉及一种入侵监测技术领域，是一种基于规则泛化和攻击重构网络攻击检测方法及装置，包括：获取网络流量数据；利用入侵检测改进模型对网络流量数据进行低层次的单步攻击检测，输出低级警报，其中，入侵检测改进模型为对规则库进行泛化，根据泛化后的规则库和Snort入侵检测技术建立的入侵检测改进模型；利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测。本发明通过研究基于规则泛化的入侵检测系统来实现对未知攻击的检测，能够发现新的入侵行为；并应用攻击重构技术，实现对高层次、多步攻击的完整重构，为公专互动新型业务系统的多层次防御提供关键技术支持。