基于SIP协议的攻击呼叫检测包括攻击行为的发现和正常会话与攻击会话的区分。在大规模软交换网络中,实现对攻击呼叫的实时检测主要面临两类问题:一是攻击呼叫淹没在海量的正常业务流量中,多数的攻击行为难以造成软交换网络流量模型的显性变化。二是发现攻击行为后,要定位攻击呼叫则需对所有呼叫进行流程还原,SIP协议特性使得要对大规模并发呼叫实时进行会话关联,面临处理能力的瓶颈问题。本课题依托“十一五”863信息技术领域重点项目“电信网安全系统”某关键课题开展研究工作,目标是深入分析软交换网络体系架构和SIP协议安全特性,研究SIP DoS攻击行为检测方法和SIP会话快速关联算法,为软交换网络信息安全提供技术支撑。主要工作贡献和创新点包括:1)构建了适用于SIP DoS攻击检测的攻击流统计特征序列,提出自适应非参量累积和攻击检测算法。针对攻击呼叫淹没在海量正常业务流量中,多数的攻击行为难以造成软交换网络流量模型显性变化的问题,依据SIP消息交互的特点构建了适用于SIP DoS攻击检测的统计特征序列;在分析现有检测算法优缺点的基础上,选择非参量累积和算法对SIP DoS攻击进行检测,指出了算法应用于实时检测时存在的3个缺陷:显著随机异常影响、凭经验设置的固定偏移和累积和残留效应。自适应非参量累积和算法主要设计了3项自适应机制:设计累计异常告警机制对显著随机异常进行处理,体现对正常随机突变的容忍能力,降低了误报率;使用切比雪夫不等式构建自适应的偏移变量,以跟随SIP业务量的变化而变化,提高算法的检测率;设计累计告警监控的机制对统计特征序列进行实时监测,及时消除累积和效应。仿真测试表明,在相同的误检率时,自适应算法的检测率高于非参量累积和算法。2)设计并实现了基于两级哈希结构的会话关联算法。根据实时并发处理系统的应用特点,预先建立空闲链表,减少内存操作频度;根据软交换网络的呼叫标识配置特性,构建两级哈希表结构,使用两级哈希运算进行会话关联检索。仿真结果表明,措施一提高了会话关联的速度,并且在所有并发处理系统中都具有普遍适用性;措施二进一步提高了会话关联速度,降低了内存开销。