用于SIP濫用檢測的入侵檢測系統(tǒng)的設計與實現(xiàn).pdf

1、隨著信息科學的進步和因特網的發(fā)展，計算機網絡的應用越來越廣泛，社會對計算機網絡的依賴越來越大。但計算機網絡自身的開放性與共享性也容易使它受到外界的攻擊與破壞。任何試圖破壞信息系統(tǒng)的完整性、機密性、可用性的網絡行為都稱為網絡入侵。防范網絡入侵常用的方法包括防火墻（Firewall）、防治病毒的軟件、用戶認證、加密以及入侵檢測等。
　　 入侵檢測作為作為一種積極主動的防御手段。是整個網絡安全防護體系的重要組成部分。入侵檢測系統(tǒng)IDS

2、（Intrusion Detection System）是信息安全領域內一個重要的組成部分，其目的在于檢測識別出網絡和系統(tǒng)中任何企圖破壞計算機資源完整性、保密性和可用性的行為，并對這些行為作出有效的響應。Snort是一個強大的輕量級的網絡入侵檢測系統(tǒng)。它具有實時數(shù)據流量分析和日志IP網絡數(shù)據包的能力。
　　 SIP（Session Initiation Protocol）稱為會話發(fā)起協(xié)議，是一個基于文本的應用層控制協(xié)議，目前針對

3、SIP協(xié)議比較典型的安全威脅包括如下幾種：注冊劫持，服務器偽裝，消息篡改，會話終止，拒絕服務。典型的SIP協(xié)議業(yè)務濫用行為包括如下幾種：服務異常，盜用服務，濫用服務。
　　 本文針對SIP協(xié)議的安全威脅和業(yè)務濫用，首次提出并設計實現(xiàn)了用于SIP濫用檢測的入侵檢測系統(tǒng)，主要用于捕獲網絡上的SIP協(xié)議數(shù)據包，對其進行解析，根據規(guī)則進行模式匹配，分析SIP協(xié)議中的Register和Response4XX行為，分析合法的SIP數(shù)據包和非