随着信息科学的进步和因特网的发展,计算机网络的应用越来越广泛,社会对计算机网络的依赖越来越大。但计算机网络自身的开放性与共享性也容易使它受到外界的攻击与破坏。任何试图破坏信息系统的完整性、机密性、可用性的网络行为都称为网络入侵。防范网络入侵常用的方法包括防火墙(Firewall)、防治病毒的软件、用户认证、加密以及入侵检测等。入侵检测作为作为一种积极主动的防御手段。是整个网络安全防护体系的重要组成部分。入侵检测系统IDS (Intrusion Detection System)是信息安全领域内一个重要的组成部分,其目的在于检测识别出网络和系统中任何企图破坏计算机资源完整性、保密性和可用性的行为,并对这些行为作出有效的响应。Snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力。SIP (Session Initiation Protocol)称为会话发起协议,是一个基于文本的应用层控制协议,目前针对SIP协议比较典型的安全威胁包括如下几种：注册劫持,服务器伪装,消息篡改,会话终止,拒绝服务。典型的SIP协议业务滥用行为包括如下几种：服务异常,盗用服务,滥用服务。本文针对SIP协议的安全威胁和业务滥用,首次提出并设计实现了用于SIP滥用检测的入侵检测系统,主要用于捕获网络上的SIP协议数据包,对其进行解析,根据规则进行模式匹配,分析SIP协议中的Register和Response 4XX行为,分析合法的SIP数据包和非法的SIP数据包并写入数据库。并在此基础上实现对SIP业务滥用的服务异常、盗用服务、滥用服务等行为的分析,并设置告警门限进行告警,然后根据预定措施放行或阻断会话。最后对系统进行了性能测试实验,实验结果表明系统能够实现预期功能目标。