3.一種基于掃描探針行為的源IP保護系統，其特征在于，包括所有用戶上網必須經過的源IP保護設備、異常分支設備和正常分支設備，通過源IP保護設備分析后為異常流量，則將報文的VLANID修改為異常分支的VLANID，并發送到異常分支設備進行發送；否則將報文的VLANID修改為正常分支的VLANID，并發送到正常分支設備進行發送；其中，

源IP保護設備對報文的分析步驟如下：

步驟a，判斷是否是802.1q報文，若不是則直接發送到出接口,結束此過程；若是則轉到步驟b；

步驟b，繼續判斷是否是IP報文，若是則轉到步驟c，若不是則轉到步驟e；

步驟c，繼續判斷IP報文頭中的源IP地址是否已經在黑名單中，若是則轉到步驟f，若不是則轉到步驟d；

步驟d，繼續偏移報文頭，判斷該IP報文類型是否是TCP報文，若不是則轉到步驟g，若是則轉到步驟e；

步驟e，通過規則匹配模塊進一步處理，具體的，通過規則匹配模塊對TCP報文進行解析，當解析出來的TCP報文頭符合規定長度，則對其內容進行匹配；若匹配中，說明流量異常，有人訪問了探針軟件，則記錄源IP地址，并轉到步驟f；若未匹配中，說明用戶上網行為正常，則轉到步驟g；

步驟f,將報文的VLANID修改為異常分支的VLANID，將報文發送到異常分支設備上發送出去，結束此過程；

步驟g,將報文的VLANID修改為正常分支的VLANID，將報文發送到正常分支設備上發送出去，結束此過程。