SIP是应用层的多媒体通信协议。SIP协议结构简洁、易于扩展,已经被广泛地应用到VoIP、多媒体会议等场景中。由于IETF在设计SIP协议时主要考虑的是协议的易用性,所以SIP的灵活开放模式导致了很多安全性问题,越来越受到学界和工业界的关注。目前,针对SIP畸形消息的检测技术主要有两种:针对已知畸形特征的特征检测技术和针对未知畸形的异常检测技术。特征检测技术主要根据RFC 3261设计SIP语法检测规则,但不能有效检测SIP语义畸形;异常检测技术不理解SIP语法或语义,用事先训练的分类器将待检测数据包进行分类,其准确性依赖于训练时样本的全面性。目前对SIP畸形的检测主要关注于语法层面,而对SIP语义畸形的检测能力关注不足。针对目前特征检测和异常检测的技术对SIP语义畸形检测能力的不足,本文设计了一种融合两种方法的面向SIP畸形语义的检测模型。待检测SIP消息首先进行畸形语法语义的检测,经过消息长度检测后提取头字段,检测头字段是否重复、乱序、缺失等,然后头字段的值被解析后通过相应的字段检测函数进行判断。面向已知畸形的检测规则根据RFC 3261和RFC 4475总结了 SIP畸形消息的典型语法和语义特征,能够对典型畸形的检测进行有效覆盖。对于其他未知畸形和不便用规则表示或编程实现的畸形,本文结合异常检测的思想设计了一个Tri-training分类器进行检测。在分类器训练阶段,将大量已标记SIP消息用n-gram分词方法转换成已标记向量,以便训练分类器的参数。在检测阶段,类似地,通过n-gram分词将待检测SIP消息映射为大量字符串,然后通过与训练过程产生的特征向量对比,产生待检测向量,作为Tri-training分类器的输入,利用SVM分类器进行判断。异常检测技术不需要理解SIP语法或语义,经过事先训练的分类器处理,对未知畸形具有较高的检测准确率。基于上述方法,在仿真环境中测试证明,面向语义SIP畸形的检测系统具有较高的检测准确率。