SIP协议是由IETF组织提出的在基于IP网络环境中实现实时通信的应用层控制与信令协议。随着SIP协议越来越广泛的应用到IP电话、用户代理、网络代理服务器、VOIP网关、媒体服务器和应用服务器等，以及受到运营商、IP电话服务提供商等的推广，其网元安全问题也日益凸显，各种熟知的人为入侵和攻击手段如信息泄漏、信息窃取、DoS攻击、数据篡改、数据删添等无疑将给SIP网络和网元带来巨大的损失。这就需要在SIP网络中有效部署针对SIP网元的入侵检测系统。如何利用入侵检测系统检测和防范对SIP网元的各种入侵，已经受到运营商、服务提供商以及设备制造商的日益重视。目前主流的入侵检测系统仍停留在对IP、TCP/UDP协议的分析上，少有专为针对SIP协议和SIP网元的入侵检测系统。论文通过采用开放源码式的入侵检测系统Snort，对其规则模块进行扩展，实现其对SIP协议的支持和在SIP网元安全检测中的应用。　　 论文首先介绍SIP网络的安全问题及SIP网元面临的入侵威胁，指出了进行SIP网元入侵检测研究的必要性，并对入侵检测含义、入侵检测技术分类、入侵检测系统标准化工作，及入侵检测技术研究现状和未来发展趋势作了简要阐述。接着，详细分析了开源入侵检测系统Snort的工作原理、插件机制、源码结构、安装方案及在网络中的位置。与其他专业的硬件设备和一些非实时性的入侵检测系统相比，Snort非常易于安装，使用成本低廉，且用户可根据自身需要开发自定义规则，Snort灵活和强大之处便在于其规则部分。接下来，重点论述了实验Snort IDS主机在实验网络环境中的安装与变量配置步骤，并在Snort中增加针对SIP网元入侵的两项新检测规则模块，再用NS2仿真软件模拟实验环境，确定其中一规则的判定门限。在保证Snort能正常运行的基础上，实现了基于Snort的入侵检测系统在SIP网元安全检测中的应用。最后，在实验局域网中发起对SIP网元的两类入侵攻击，同时用该定制了新规则的Snort对此两类入侵做出检测，并对其检测结果和性能给出了评价。实验结果表明该基于Snort的入侵检测系统能有效检测出针对SIP网元的几类入侵和攻击，起到了入侵检测的作用。相信这些工作对今后SIP网络中入侵检测系统的进一步研究有一定价值。