SIP协议因其灵活性和易于扩充,被广泛应用于NGN、IMS等网络中。但由于SIP协议基于文本的特性,导致SIP消息容易被黑客改造成畸形SIP消息威胁核心网,从而引发网络实体崩溃、服务受影响等问题。SBC作为核心网的边界控制设备,承担着信令处理、安全防护等作用。但目前SBC设备均存在畸形类型检测不全面,某些畸形类型检测不准确的问题。因此为SBC设备提供畸形SIP消息检测子系统有十分重要的现实意义的。近年来关于畸形SIP检测的研究主要基于RFC3261规范的正则表达式检测和基于snort的规则检测。然而,基于正则表达式的检测只能覆盖语法畸形消息,且检测速度较慢;基于snort的规则检测只能针对已知畸形编写规则。因此本文提出一种基于特征的双层SIP检测子系统,底层为语法特征检测层,上层为Tri-Training模型检测层。首先,笔者分析SIP相关协议规范,积累SIP协议语法编码层特征。并对目前已知的畸形SIP消息进行分析研究,得出畸形SIP消息的分类。其次,根据积累的语法特征和畸形分类设计了基于特征的双层畸形SIP消息检测方法。该方法第一层为语法畸形检测层,该层首先将SIP头字段分为6种不同类型实现分类检测,然后针对具体的头字段实现其特有的部分检测,该层可以实现语法畸形的全面覆盖。第二层为Tri-Training模型检测层,该层采用N-Gram方法将SIP消息映射到高维空间,使用信息增益提取字符序列作为模型特征,然后通过Tri-Training模型训练,检测语法畸形检测层不能覆盖的畸形类型。双层结构的畸形SIP检测方法可以保证在覆盖畸形种类多、检测准确率较高的前提下,具有较快的检测速度。然后,遵循双层畸形SIP检测方法的设计,实现了 SBC的畸形SIP检测子系统。检测子系统包括:管理子模块、通信子模块、检测子模块、日志子模块和畸形数据库。最后,对模块进行部署,并从功能和性能两个方面进行测试,完成了畸形SIP检测子系统的正确性和可用性验证。