基于TLS流量的NAT局域网主机探测方法及系统

本发明提出一种基于TLS流量的NAT局域网主机探测方法及系统，属于设备审计领域，包括：S1：收集并解析目标网络中的TLS数据包，记录ClientHello数据包中TLS协议的访问特征；S2：根据分析样本流量中对已知系统的固有流量频域统计，以及源IP和设备类型与其SNI服务器域名的对应关系构建本地特征库；S3：分析待检测流量数据的频域特征并存入日志；S4：将分析结果与本地特征库进行特征匹配，根据匹配结果推断该目标IP中活跃设备的数量；并判断目标网络是否为NAT局域网；查询本地特征库判断待检测流量的目标IP包含的主机的设备类型。本发明方法能够检测出NAT设备所构成的局域网内的主机设备类型。