随着网络带宽的提高和互联网技术的发展,人们对IP网络传输多媒体信息的需求日益高涨。由于VoIP比传统电话具有价格低廉的优势,VoIP通信市场在全球快速扩大。随着网络融合技术的发展和国家三网融合政策的推动,VoIP将会在我国普及和发展。VoIP具有互联网开放性和分布式等特点,VoIP服务提供商和终端用户有可能会遭遇到SPIT和DoS等攻击。因此,国家相关部门和运营商对于VoIP防护系统的需求也就应运而生。本文在研究了VoIP协议及面临的安全威胁后,设计和实现了VoIP防护系统。本文的VoIP防护系统主要包括VoIP正常流量的实时统计,VoIP攻击流量的检测和VoIP攻击拦截三个部分。具体来说,本文的主要工作内容包括以下几个方面：1)设计了VoIP防护系统框架。VoIP防护系统包括了NP负载均衡模块、系统预处理模块、VoIP信令处理模块、VoIP会话分析模块、VoIP媒体流处理模块、系统响应模块和系统集中管理模块。2)本文通过利用libpcap捕获原始数据包,绕开了操作系统内部的TCP/IP协议栈,完成IP分片重组,TCP报文乱序重传等传输层下处理。3)在完成对VoIP信令协议识别后,本文利用开源库OSIP解析SIP消息和利用OOH323解析H.323消息,在解析过程中标识并统计畸形信令。正常解析出来的VoIP信令还需要通过基于事务检测来判别是否存在DoS攻击。4) VoIP媒体流处理包括VoIP媒体流还原和媒体流在线匹配。VoIP媒体流还原通过HASH结构对RTP流进行分流处理,并通过基于事件触发的计时器机制保存和还原RTP流。媒体流在线匹配模块通过已有的特征库跟已还原的RTP流进行精确二进制匹配来检测是否存在恶意会话。5)本文还提出基于Iptables防火墙进行硬阻断和基于libnet构造VoIP终结信令软阻断两种方法。最后,本文搭建了实验测试环境,完成对正常VoIP流量检测的压力测试和对攻击流量检测的功能性测试。