本申请公开了一种网络入侵检测系统及方法，系统包括：包头部匹配模块，用于提取包头部字段组合成N元组，根据N元组和预置规则库进行包头部匹配检测，若匹配成功则触发包载荷匹配模块；包载荷编译模块，用于在数据包的复杂度低于阈值时，将包载荷编译成DFA匹配库，在数据包的复杂度高于或等于阈值时，将包载荷编译成NFA匹配库，将DFA匹配库和NFA匹配库发送至包载荷匹配模块；包载荷匹配模块，用于在对数据包的包载荷检测时，根据DFA匹配库进行DFA匹配检测，若匹配成功，则直接跳过NFA匹配检测，否则，根据NFA匹配库进行NFA匹配检测。本申请解决了现有的基于SDN入侵检测的效率和吞吐量都比较低的技术问题。