论文部分内容阅读
SIP协议是由IETF组织提出的在基于IP网络环境中实现实时通信的应用层控制与信令协议。随着SIP协议越来越广泛的应用到IP电话、用户代理、网络代理服务器、VOIP网关、媒体服务器和应用服务器等,以及受到运营商、IP电话服务提供商等的推广,其网元安全问题也日益凸显,各种熟知的人为入侵和攻击手段如信息泄漏、信息窃取、DoS攻击、数据篡改、数据删添等无疑将给SIP网络和网元带来巨大的损失。这就需要在SIP网络中有效部署针对SIP网元的入侵检测系统。如何利用入侵检测系统检测和防范对SIP网元的各种入侵,已经受到运营商、服务提供商以及设备制造商的日益重视。目前主流的入侵检测系统仍停留在对IP、TCP/UDP协议的分析上,少有专为针对SIP协议和SIP网元的入侵检测系统。论文通过采用开放源码式的入侵检测系统Snort,对其规则模块进行扩展,实现其对SIP协议的支持和在SIP网元安全检测中的应用。
论文首先介绍SIP网络的安全问题及SIP网元面临的入侵威胁,指出了进行SIP网元入侵检测研究的必要性,并对入侵检测含义、入侵检测技术分类、入侵检测系统标准化工作,及入侵检测技术研究现状和未来发展趋势作了简要阐述。接着,详细分析了开源入侵检测系统Snort的工作原理、插件机制、源码结构、安装方案及在网络中的位置。与其他专业的硬件设备和一些非实时性的入侵检测系统相比,Snort非常易于安装,使用成本低廉,且用户可根据自身需要开发自定义规则,Snort灵活和强大之处便在于其规则部分。接下来,重点论述了实验Snort IDS主机在实验网络环境中的安装与变量配置步骤,并在Snort中增加针对SIP网元入侵的两项新检测规则模块,再用NS2仿真软件模拟实验环境,确定其中一规则的判定门限。在保证Snort能正常运行的基础上,实现了基于Snort的入侵检测系统在SIP网元安全检测中的应用。最后,在实验局域网中发起对SIP网元的两类入侵攻击,同时用该定制了新规则的Snort对此两类入侵做出检测,并对其检测结果和性能给出了评价。实验结果表明该基于Snort的入侵检测系统能有效检测出针对SIP网元的几类入侵和攻击,起到了入侵检测的作用。相信这些工作对今后SIP网络中入侵检测系统的进一步研究有一定价值。