摘要
本发明提出一种基于TLS流量的NAT局域网主机探测方法及系统,属于设备审计领域,包括:S1:收集并解析目标网络中的TLS数据包,记录ClientHello数据包中TLS协议的访问特征;S2:根据分析样本流量中对已知系统的固有流量频域统计,以及源IP和设备类型与其SNI服务器域名的对应关系构建本地特征库;S3:分析待检测流量数据的频域特征并存入日志;S4:将分析结果与本地特征库进行特征匹配,根据匹配结果推断该目标IP中活跃设备的数量;并判断目标网络是否为NAT局域网;查询本地特征库判断待检测流量的目标IP包含的主机的设备类型。本发明方法能够检测出NAT设备所构成的局域网内的主机设备类型。
