本发明提供了一种处理IP分片报文的方法、装置及系统。本发明所述方法包括：接收网络设备发送的IP分片报文；当所述IP分片报文所属IP数据包记录有完整的特征信息时，检测所述IP分片报文所属IP数据包的TCP连接是否已经建立，其中所述特征信息包括：源IP地址，目的IP地址，源端口，目的端口，协议号；若所述IP数据包的TCP连接没有建立，则对所述IP数据包的IP分片报文进行丢弃处理或者记录统计处理。本发明通过快速准确地识别出IP分片攻击报文，解决了因IP分片攻击造成的性能瓶颈的问题，减轻了NIDS/NIPS系统的存储资源和CPU计算资源压力，从而提高了NIDS/NIPS系统的处理能力和IP分片重组的效率。