專利名稱：一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法
技術(shù)領(lǐng)域：
本發(fā)明屬于寬帶通信技術(shù)領(lǐng)域，更確切地說是涉及一種通過檢測虛擬局域網(wǎng)(VLAN)流量達(dá)到檢測并監(jiān)控用戶主機(jī)惡意攻擊的方法，可以應(yīng)用于接入服務(wù)器、設(shè)備網(wǎng)關(guān)、路由器等寬帶通信設(shè)備中。對本發(fā)明的描述，都以寬帶技術(shù)領(lǐng)域以太網(wǎng)接入設(shè)備為例。
網(wǎng)絡(luò)安全在寬帶接入技術(shù)中一直是一個難以解決的問題。


圖1示出一種典型的以太網(wǎng)接入寬帶網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)，上網(wǎng)用戶主機(jī)接入Internet網(wǎng)，需經(jīng)過支持VLAN的用戶側(cè)交換機(jī)(LAN SWITCH)、核心交換機(jī)、以太網(wǎng)接入設(shè)備和路由器。
上網(wǎng)用戶主機(jī)通過支持VLAN的交換機(jī)連接以太網(wǎng)接入設(shè)備，在LAN SWITCH上進(jìn)行適當(dāng)?shù)呐渲?，使用戶端發(fā)出的報文帶有VLAN鏈路信息幀頭，鏈路層格式符合802.1Q VLAN鏈路層協(xié)議。
對于寬帶以太網(wǎng)接入設(shè)備，考慮到用戶安全和管理的需要，一個VLAN所允許的用戶數(shù)量是有限的，假設(shè)某寬帶接入設(shè)備(VLAN接入業(yè)務(wù))支持一個VLAN對應(yīng)一個用戶和一個VLAN對應(yīng)多個用戶兩種方式。在一個VLAN對應(yīng)多個用戶的方式中，限制一個VLAN對應(yīng)的最大用戶數(shù)量為32個。
寬帶接入設(shè)備(包括路由器、接入服務(wù)器等)的內(nèi)部芯片一般采用網(wǎng)絡(luò)處理器(NP)，這類芯片的特點是轉(zhuǎn)發(fā)能力極強(qiáng)，但處理能力較弱，這類芯片往往明顯分為軟件處理部分和報文轉(zhuǎn)發(fā)部分。以Intel公司的IXP1200網(wǎng)絡(luò)處理芯片為例，它分為微引擎和Strong ARM Core兩部分。其中微引擎主要負(fù)責(zé)報文轉(zhuǎn)發(fā)，該部分的軟件一般用匯編語言編寫(微碼)，簡練且效率極高，NP的轉(zhuǎn)發(fā)性能主要來自于這個部分。而Core相當(dāng)于一個普通的CPU，負(fù)責(zé)各種算法和報文處理工作，對于非直接轉(zhuǎn)發(fā)的需要進(jìn)行系列解析和算法處理的報文一般將由微碼部分交給Core進(jìn)行處理，該部分軟件一般用高級語言來完成，算法復(fù)雜且龐大，所有通過網(wǎng)口進(jìn)來的報文先要經(jīng)過微碼(底層軟件)的處理后，然后分為轉(zhuǎn)發(fā)報文和需要進(jìn)行復(fù)雜處理的報文。對于轉(zhuǎn)發(fā)報文一般處理較簡單，將直接由微碼轉(zhuǎn)發(fā)出去；對于需要復(fù)雜處理的報文一般是微碼無法處理的報文，將由微碼把報文交給Core軟件(上層軟件)來處理。
用戶一般使用兩種報文上網(wǎng)，包括控制報文和數(shù)據(jù)報文。來自用戶端的數(shù)據(jù)報文一般是用戶的上網(wǎng)瀏覽報文，設(shè)備僅對其作簡單處理后就直接轉(zhuǎn)發(fā)出去，該過程不會對設(shè)備造成太大影響；但用戶端的控制報文是用戶上網(wǎng)的認(rèn)證以及鏈路維護(hù)報文，在設(shè)備中需要經(jīng)過上層軟件復(fù)雜的流程和算法處理，以完成對上網(wǎng)用戶的合法性和當(dāng)前狀態(tài)的驗證和控制。
在眾多網(wǎng)絡(luò)攻擊中，采用大流量報文進(jìn)行攻擊是惡意用戶最常用的手段之一，尤其對于寬帶網(wǎng)絡(luò)，由于帶寬非常大，當(dāng)惡意用戶通過一些網(wǎng)絡(luò)工具、網(wǎng)絡(luò)設(shè)備或者主機(jī)向接入設(shè)備頻繁、大流量地發(fā)送控制報文時，勢必給設(shè)備帶來巨大負(fù)荷，接入設(shè)備軟件底層與上層的通訊可能會成為瓶頸，CPU的處理負(fù)荷將會超載，從而影響正常用戶上網(wǎng)流程的執(zhí)行，造成其它用戶無法上網(wǎng)，甚至發(fā)生因報文量太大而造成接入設(shè)備癱瘓。
實現(xiàn)本發(fā)明目的的技術(shù)方案是這樣的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于包括以下處理步驟A.由支持虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)設(shè)備的底層軟件，對來自設(shè)備網(wǎng)口的用戶報文，以報文所來自的虛擬局域網(wǎng)標(biāo)記(VLAN ID)作索引查找黑戶信息表；B.對于已被記錄在黑戶信息表中的上網(wǎng)用戶，則直接丟棄其用戶報文；C.對于未被記錄在黑戶信息表中的上網(wǎng)用戶，進(jìn)一步由上層軟件進(jìn)行處理并記錄其所屬VLAN的報文流量；D.當(dāng)所記錄的該VLAN下用戶報文流量超過設(shè)定值時，在黑戶信息表中將其所屬虛擬局域網(wǎng)(VLAN)記錄為黑戶。
所述步驟A中的索引查找，是以加在上網(wǎng)用戶主機(jī)報文以太網(wǎng)幀標(biāo)簽頭上的虛擬局域網(wǎng)標(biāo)記(VLAN ID)作索引項，以求摘要(Hash)方式查找所述的黑戶信息表。
上述的用戶報文是控制報文，支持虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)設(shè)備的底層軟件，對來自設(shè)備網(wǎng)口的數(shù)據(jù)報文，在對其控制報文判為合法時直接轉(zhuǎn)發(fā)其數(shù)據(jù)報文。
所述的黑戶信息表，是以上網(wǎng)用戶所在虛擬局域網(wǎng)(VLAN)的虛擬局域網(wǎng)標(biāo)記(VLAN ID)作標(biāo)識，對判斷為惡意攻擊的用戶進(jìn)行黑戶信息記錄。
所述的黑戶信息表，是以數(shù)組方式建立的，虛擬局域網(wǎng)標(biāo)記(VLAN ID)為N的黑戶，在表項中的位置為[N-N2]。
所述的黑戶信息表，是采取用固定內(nèi)存作為表格存放地點的方式建立的，虛擬局域網(wǎng)標(biāo)記(VLAN ID)為N黑戶，在表項中的位置為內(nèi)存基址+黑戶信息表在設(shè)備內(nèi)存空間中的相對起始地址+[N-N2]×每個黑戶的表項長度。
上述N、N1、N2均為正整數(shù)。
所述步驟D中的用戶報文流量超過設(shè)定值，是連續(xù)記錄到的一個虛擬局域網(wǎng)(VLAN)的用戶報文超過一預(yù)定時間記錄段。
所述步驟D中的用戶報文流量超過設(shè)定值，是連續(xù)記錄到的一個虛擬局域網(wǎng)(VLAN)的用戶報文超過一預(yù)定的用戶報文數(shù)。
所述的連續(xù)記錄用戶報文的流量是以用戶的虛擬局域網(wǎng)標(biāo)記(VLAN ID)為索引項建立流量信息表。
所述步驟D中將虛擬局域網(wǎng)(VLAN)記錄為黑戶，進(jìn)一步包括設(shè)置一惡意攻擊次數(shù)Y，每記錄到一次用戶報文的流量超過設(shè)定值，則將惡意攻擊次數(shù)記錄增1，在記錄的惡意攻擊次數(shù)達(dá)到設(shè)置值Y時，在黑戶信息表中將其虛擬局域網(wǎng)(VLAN)記錄為黑戶。
還包括設(shè)置一時間段，對于在該時間段內(nèi)所記錄的惡意攻擊次數(shù)未達(dá)到設(shè)置值Y的虛擬局域網(wǎng)(VLAN)，將已記錄的惡意攻擊次數(shù)清零。
本發(fā)明的方法是通過設(shè)計黑戶信息表并根據(jù)某一特定時間段內(nèi)VLAN流量，來監(jiān)測和限制惡意用戶攻擊的。
在當(dāng)今的以太網(wǎng)組網(wǎng)方案中，VLAN由于它的便于管理、安全性、減少廣播等優(yōu)點而被廣泛采用，由于VLAN的區(qū)分一般是由通訊設(shè)備硬件來完成的，對于設(shè)計好的網(wǎng)絡(luò)，VLAN對用戶是透明的和不可改變的，所以本發(fā)明針對VLAN來設(shè)計網(wǎng)絡(luò)安全防范措施，為采用VLAN組網(wǎng)方案的以太網(wǎng)接入設(shè)備提供了一個防范惡意攻擊的行之有效的技術(shù)方案，可取得有益效果。
由于VLAN的實現(xiàn)一般是由網(wǎng)絡(luò)設(shè)備(如交換機(jī))硬件實現(xiàn)的，而且以VLANID作為下標(biāo)可以直接定位出黑戶在設(shè)備內(nèi)存空間的黑戶表項區(qū)中的位置，所以本發(fā)明的通過檢測某一VLAN的流量來監(jiān)測和限制大流量報文惡意攻擊的方法是可行且高效的。
具體實施例方式
本發(fā)明采用連續(xù)紀(jì)錄單個VLAN在一固定大小時間段內(nèi)流量的方法，來檢測用戶是否存在惡意攻擊的可能，即如果單個VLAN在某一固定時間段內(nèi)的流量超過某一個界限，則認(rèn)為該VLAN下的用戶存在惡意攻擊的可能，對于惡意攻擊用戶，采用紀(jì)錄黑戶表的方法來限制惡意用戶的攻擊和上網(wǎng)權(quán)限。
實施本發(fā)明方法時，需設(shè)計一張黑戶信息表，用于紀(jì)錄不合法用戶或者對設(shè)備進(jìn)行攻擊的惡意用戶的相關(guān)數(shù)據(jù)信息。接入設(shè)備的底層軟件在接收到由設(shè)備網(wǎng)口接入的用戶報文時，首先查找該黑戶信息表，如果該用戶在黑戶信息表中已有記錄，即已經(jīng)被紀(jì)錄為黑戶，那么，不論該報文是什么類型、采用什么處理流程，底層軟件都不對該用戶報文作任何處理，而是直接丟棄。
該黑戶信息表也可以記錄那些認(rèn)證沒有通過的不合法用戶的相關(guān)數(shù)據(jù)信息，從而可以對不合法用戶的報文進(jìn)行屏蔽，禁止其不斷地向接入設(shè)備申請認(rèn)證。此外，該黑戶信息表還可對合法的但卻曾經(jīng)惡意攻擊過接入設(shè)備的用戶采取紀(jì)錄并懲罰的措施。
參見圖2，圖中示出由802.1Q協(xié)議規(guī)定的標(biāo)簽頭結(jié)構(gòu)，由四個字節(jié)組成，前面兩個字節(jié)Byte 1、Byte 2為標(biāo)簽協(xié)議標(biāo)識(TPID-Tag ProtocolIdentifier)，它的值是8100，后面兩個字節(jié)Byte 3、Byte 4為標(biāo)簽控制信息(TCI--Tag Control Information)，標(biāo)簽控制信息的后12位是虛擬局域網(wǎng)標(biāo)識(VLAN ID)，它唯一標(biāo)識一個VLAN，共有212＝4096個，值的范圍為0～4095。
對于上網(wǎng)用戶的身份可以以其所在VLAN的VLAN ID作為標(biāo)識，由于VLAN標(biāo)簽頭是由網(wǎng)絡(luò)設(shè)備(一般是交換機(jī))硬件加在報文以太網(wǎng)幀頭中的，對用戶是透明的和在物理上是不可更改的，所以以VLAN ID來標(biāo)識用戶是安全可靠的，同時由于VLAN ID是連續(xù)的數(shù)字，以VLAN ID作為下標(biāo)來定位查找黑戶信息表是可行而且高效的。
本發(fā)明的黑戶信息表是以VLAN ID作為查找黑戶的索引。
參見圖3，圖中示出查找黑戶信息表、計算黑戶在表項中的位置的方法。
對于某接入設(shè)備，假設(shè)該設(shè)備允許接入的最大用戶數(shù)量為500，該設(shè)備配置的合法VLAN ID范圍為500-999(N2＝500，N1＝999)。
如果以數(shù)組方式建立黑戶信息表，如UserList[500]，則對于VLAN ID為N(500＝＜N＜＝999)的用戶表項位置為UserList[N-500]；或者對于采取固定內(nèi)存作為表格存放地點的建表方式，在最低地址至最高地址的設(shè)備內(nèi)存空間中，則對于VLAN ID為N的用戶表項位置(UserListLocation)為UserListLocation＝MemBaseAddr(內(nèi)存基址，最低地址)+UserList_BeginAddr(表格的相對起始地址)+[N-500]×ListLength(每個黑戶的表項長度)。
參見圖4，圖中示出接入設(shè)備底層軟件對VLAN報文的處理流程。
步驟401，接入設(shè)備的底層軟件對接入的VLAN(802.1Q)幀格式報文進(jìn)行處理；步驟402，從報文中提取上網(wǎng)用戶的VLAN ID，以VLAN ID為索引項，通過求摘要(Hash)的方式查找黑戶信息表；步驟403，判斷黑戶信息表中是否記錄有該VLAN ID項，即判斷該用戶是否是黑戶；步驟404，如果黑戶信息表中記錄有該VLAN ID項，即判斷該用戶為黑戶，即直接丟棄該用戶的報文，然后執(zhí)行步驟413；步驟405，如果黑戶信息表中沒有該VLAN ID項的記錄，即判斷該用戶不是黑戶，并進(jìn)一步執(zhí)行步驟405；步驟405，判斷該報文的類型，是控制報文還是數(shù)據(jù)報文；步驟406，若判斷結(jié)果是數(shù)據(jù)報文，則直接轉(zhuǎn)發(fā)該報文，轉(zhuǎn)發(fā)完畢后執(zhí)行步驟413；步驟407，若步驟405的判斷結(jié)果是控制報文，則進(jìn)一步執(zhí)行步驟407，進(jìn)行VLAN流量檢測，將控制報文交給接入設(shè)備的上層軟件，并在本時間段內(nèi)記錄報文的流量。為了實時紀(jì)錄用戶控制報文的流量信息，接入設(shè)備底層軟件保留對每個用戶控制報文的數(shù)據(jù)紀(jì)錄，比如數(shù)組UserFlow[500]，VLAN流量表格也是以VLAN ID作為索引，采用如下步驟紀(jì)錄某個VLAN的流量步驟408、409、410、411、412，通過判斷是否已經(jīng)達(dá)到一個記錄時間段t的方法，來連續(xù)紀(jì)錄每一個VLAN內(nèi)用戶在一個特定長度時間段t內(nèi)的報文數(shù)量，或連續(xù)記錄的一個VLAN內(nèi)用戶的報文數(shù)達(dá)到一定量，由于用戶上網(wǎng)的控制報文一般很少，一個VLAN內(nèi)對應(yīng)的用戶數(shù)量又是有限的，所以某一個VLAN在一個時間段內(nèi)的控制報文數(shù)量應(yīng)該是非常有限的，正常情況下的這個值與有惡意攻擊時的報文數(shù)量相比較應(yīng)該是微不足道的，所以可以決定在一個特定長度時間段t內(nèi)，當(dāng)一個VLAN的用戶控制報文數(shù)量大于某一個設(shè)定值X時，可以有理由認(rèn)為該VLAN下存在惡意用戶，而可將該VLAN的惡意攻擊次數(shù)記錄或增加一次；如果當(dāng)某一個VLAN的惡意攻擊次數(shù)達(dá)到一個最大允許值Y時，則在黑戶信息表中以VLANID為索引項記錄該VLAN的黑戶信息，如此，該VLAN的報文則會在下一次到達(dá)接入設(shè)備網(wǎng)口時就被底層軟件直接拋棄，不會作任何處理(步驟403、404)，而可以有效屏蔽掉惡意用戶。
如果某一個VLAN在足夠長的時間內(nèi)沒有達(dá)到最大攻擊次數(shù)Y，那么可以將該VLAN的惡意攻擊次數(shù)清零，這是為了防止將一些并非惡意的用戶置成黑戶，因為有些攻擊可能是由于網(wǎng)絡(luò)中的一些異常原因或者用戶并非出于惡意而是由于操作不小心造成的。
對于一個VLAN對應(yīng)多個用戶主機(jī)(最多32個)的情況，當(dāng)有一個用戶主機(jī)被判斷為惡意攻擊用戶從而造成VLAN被關(guān)閉時，網(wǎng)絡(luò)管理人員利用現(xiàn)有技術(shù)會很快找到該惡意攻擊用戶，從而釋放該VLAN，解決其它用戶主機(jī)的上網(wǎng)。
本發(fā)明方法更適合的應(yīng)用范圍是將控制報文處理流程和數(shù)據(jù)報文處理流程分開，用戶控制報文可以看作是用戶狀態(tài)和鏈路的維護(hù)報文，只有控制報文被設(shè)備認(rèn)為是合法的，該用戶才被認(rèn)為是合法的，該用戶的數(shù)據(jù)報文才能得到設(shè)備的直接轉(zhuǎn)發(fā)處理。
本發(fā)明的技術(shù)方案經(jīng)在相關(guān)設(shè)備上試應(yīng)用，取得了預(yù)期的積極效果。
本發(fā)明的方法可應(yīng)用于一切支持VLAN技術(shù)的網(wǎng)絡(luò)硬件設(shè)備中，更適宜應(yīng)用于需要對上網(wǎng)用戶進(jìn)行合法性認(rèn)證處理的以太網(wǎng)接入設(shè)備中，對于不合法的攻擊性用戶報文可以直接丟棄，從而可以使設(shè)備免于被攻擊。
權(quán)利要求
1.一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于包括以下處理步驟A.由支持虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)設(shè)備的底層軟件，對來自設(shè)備網(wǎng)口的用戶報文，以報文所來自的虛擬局域網(wǎng)標(biāo)記(VLAN ID)作索引查找黑戶信息表；B.對于已被記錄在黑戶信息表中的上網(wǎng)用戶，則直接丟棄其用戶報文；C.對于未被記錄在黑戶信息表中的上網(wǎng)用戶，進(jìn)一步由上層軟件進(jìn)行處理并記錄其所屬VLAN的報文流量；D.當(dāng)所記錄的該VLAN下用戶報文流量超過設(shè)定值時，在黑戶信息表中將其所屬虛擬局域網(wǎng)(VLAN)記錄為黑戶。
2.根據(jù)權(quán)利要求1所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述步驟A中的索引查找，是以加在上網(wǎng)用戶主機(jī)報文以太網(wǎng)幀標(biāo)簽頭上的虛擬局域網(wǎng)標(biāo)記(VLAN ID)作索引項，以求摘要(Hash)方式查找所述的黑戶信息表。
3.根據(jù)權(quán)利要求1所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述的用戶報文是控制報文，支持虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)設(shè)備的底層軟件，對來自設(shè)備網(wǎng)口的數(shù)據(jù)報文，在對其控制報文判為合法時直接轉(zhuǎn)發(fā)其數(shù)據(jù)報文。
4.根據(jù)權(quán)利要求1所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述的黑戶信息表，是以上網(wǎng)用戶所在虛擬局域網(wǎng)(VLAN)的虛擬局域網(wǎng)標(biāo)記(VLAN ID)作標(biāo)識，對判斷為惡意攻擊的用戶進(jìn)行黑戶信息記錄。
5.根據(jù)權(quán)利要求4所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述的黑戶信息表，是以數(shù)組方式建立的，虛擬局域網(wǎng)標(biāo)記(VLAN ID)為N的黑戶，在表項中的位置為[N-N2]，N2≤N≤N1，N、N1、N2為正整數(shù)。
6.根據(jù)權(quán)利要求4所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述的黑戶信息表，是采取用固定內(nèi)存作為表格存放地點的方式建立的，虛擬局域網(wǎng)標(biāo)記(VLAN ID)為N的黑戶，在表項中的位置為內(nèi)存基址+黑戶信息表在設(shè)備內(nèi)存空間中的相對起始地址+[N-N2]×每個黑戶的表項長度，N2≤N≤N1，N、N1、N2為正整數(shù)。
7.根據(jù)權(quán)利要求1所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述步驟D中的用戶報文流量超過設(shè)定值，是連續(xù)記錄到的一個虛擬局域網(wǎng)(VLAN)的用戶報文超過一預(yù)定時間記錄段。
8.根據(jù)權(quán)利要求1所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述步驟D中的用戶報文流量超過設(shè)定值，是連續(xù)記錄到的一個虛擬局域網(wǎng)(VLAN)的用戶報文超過一預(yù)定的用戶報文數(shù)。
9.根據(jù)權(quán)利要求7或8所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述的連續(xù)記錄用戶報文的流量是以用戶的虛擬局域網(wǎng)標(biāo)記(VLANID)為索引項建立流量信息表。
10.根據(jù)權(quán)利要求1所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于所述步驟D中將虛擬局域網(wǎng)(VLAN)記錄為黑戶，進(jìn)一步包括設(shè)置一惡意攻擊次數(shù)Y，每記錄到一次用戶報文的流量超過設(shè)定值，則將惡意攻擊次數(shù)記錄增1，在記錄的惡意攻擊次數(shù)達(dá)到設(shè)置值Y時，在黑戶信息表中將其虛擬局域網(wǎng)(VLAN)記錄為黑戶。
11.根據(jù)權(quán)利要求10所述的一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，其特征在于還包括設(shè)置一時間段，對于在該時間段內(nèi)所記錄的惡意攻擊次數(shù)未達(dá)到設(shè)置值Y的虛擬局域網(wǎng)(VLAN)，將已記錄的惡意攻擊次數(shù)清零。
全文摘要
本發(fā)明涉及一種檢測并監(jiān)控惡意用戶主機(jī)攻擊的方法，解決寬帶接入技術(shù)中的網(wǎng)絡(luò)安全問題。針對采用虛擬局域網(wǎng)(VLAN)組網(wǎng)方案的以太網(wǎng)接入設(shè)備，通過檢測VLAN下用戶報文流量，達(dá)到防范惡意攻擊的目的。包括由支持VLAN的網(wǎng)絡(luò)設(shè)備的底層軟件，對來自設(shè)備網(wǎng)口的用戶控制報文，先查找黑戶信息表，判斷其所屬VLAN是否被記錄在黑戶信息表中；對于已被記錄的用戶，則直接丟棄其報文；對于未被記錄的用戶，則將其報文交給上層軟件進(jìn)一步處理并統(tǒng)計該用戶所屬VLAN下的用戶報文流量；當(dāng)某一VLAN下的用戶報文流量多次超過設(shè)定值時，在黑戶信息表中將該VLAN記錄為黑戶。黑戶信息表，是以上網(wǎng)用戶所在VLAN的標(biāo)記(VLANID)作標(biāo)識，對判斷為惡意攻擊的用戶進(jìn)行黑戶信息記錄。
文檔編號H04L12/26GK1411209SQ0211652
公開日2003年4月16日 申請日期2002年3月29日 優(yōu)先權(quán)日2002年3月29日
發(fā)明者阮有明 申請人:華為技術(shù)有限公司