用於保護網絡端點的系統及方法與流程

2023-05-20 14:10:42 1

相關申請案

本申請案主張對於2014年12月11日提出申請的標題為「用於保護網絡端點的系統及方法(systemsandmethodsforsecuringnetworkendpoints)」的第62/090,547號美國臨時專利申請案、於2015年6月16日提出申請的標題為「用於自動裝置檢測、裝置管理及遠程協助的系統及方法(systemsandmethodsforautomaticdevicedetection,devicemanagement,andremoteassistance)」的第62/180,390號美國臨時專利申請案及於2015年9月11日提出申請的標題為「用於自動網絡服務接管的系統及方法(systemsandmethodsforautomaticnetworkservicetakeover)」的第62/217,310號美國臨時專利申請案的申請日期的權益，所述臨時專利申請案的全部內容以引用的方式併入本文中。

背景技術：

本發明涉及用於保護網絡端點免受計算機安全威脅的系統及方法，且涉及用於自動裝置檢測及遠程裝置管理的系統及方法。

惡意軟體(malicioussoftware，也被稱作惡意軟體(malware))在世界範圍內影響大量計算機系統。在其許多形式(例如計算機病毒、漏洞利用及間諜軟體)中，惡意軟體對數百萬計算機用戶呈現出嚴重風險，使他們易於遭受數據及敏感信息損失、身份盜用及生產力損失等等。

各種各樣的裝置(非正式地稱為物聯網(iot))當前連接到通信網絡及網際網路。此類裝置尤其包含智慧型電話、智能手錶、tv及其它多媒體裝置、遊戲控制臺、家用電器及各種家庭傳感器，例如恆溫器。隨著越來越多此類裝置進入網絡，其變成安全威脅的目標。因此，越來越需要保護類裝置免受惡意軟體破壞以及保護去往及來自此類裝置的通信。

另外，例如家庭及辦公室等環境中的此類智能裝置的增生產生裝置及網絡管理的增加的問題。當每一裝置使用相異配置接口且需要單獨連接設定時，尤其對缺乏網絡管理經驗的典型家庭用戶來說，管理大量此類裝置可變成負擔。因此，開發特別強調安全的用於自動裝置檢測及配置的系統及方法越來越受關注。

技術實現要素：

根據一個方面，一種網絡調節器包括硬體處理器及存儲器，所述硬體處理器經配置以自動地從路由器接管網絡服務，所述網絡調節器經由本地網絡連接到所述路由器，所述網絡服務包括將網絡地址指派給連接到所述本地網絡的多個客戶端系統。所述硬體處理器進一步經配置以響應於接管所述網絡服務，攔截所述多個客戶端系統中的客戶端系統接入位於所述本地網絡之外的資源的請求。所述硬體處理器進一步經配置以響應於攔截所述請求，將所述請求的指示符發射到遠程安全伺服器以進行分析，其中所述安全伺服器經配置以確定接入所述資源是否對所述客戶端系統構成計算機安全威脅。

根據另一方面，一種安全伺服器包括至少一個硬體處理器及存儲器，所述至少一個硬體處理器配置以：從連接到遠程網絡的網絡調節器接收連接到所述遠程網絡的客戶端系統接入位於所述遠程網絡之外的資源的請求的指示符。所述至少一個硬體處理器進一步經配置以響應於接收到所述請求的所述指示符，確定接入所述資源是否對所述客戶端系統構成計算機安全威脅。所述網絡調節器經配置以自動地從路由器接管網絡服務，所述路由器經由所述遠程網絡連接到所述網絡調節器，所述網絡服務包括將網絡地址指派給連接到所述遠程網絡的多個客戶端系統。所述網絡調節器進一步經配置以響應於接管所述網絡服務，攔截所述請求，且響應於攔截所述請求，將所述請求的所述指示符發射到所述安全伺服器。

根據另一方面，一種非暫時性計算機可讀媒體存儲在由網絡調節器的至少一個硬體處理器執行時致使所述網絡調節器進行以下操作的指令：自動地從路由器接管網絡服務，所述網絡調節器經由本地網絡連接到所述路由器，所述網絡服務包括將網絡地址指派給連接到所述本地網絡的多個客戶端系統。所述指令進一步致使所述網絡調節器進行以下操作：響應於接管所述網絡服務，攔截所述多個客戶端系統中的客戶端系統接入位於所述本地網絡之外的資源的請求。所述指令進一步致使所述網絡調節器進行以下操作：響應於攔截所述請求，將所述請求的指示符發射到遠程安全伺服器以進行分析，其中所述安全伺服器經配置以確定接入所述資源是否對所述客戶端系統構成計算機安全威脅。

附圖說明

在閱讀以下詳細描述後且在參考圖式後，本發明的前述方面及優點將立即被更好地理解，在圖式中：

圖1-a展示根據本發明的一些實施例的由本地網絡互連的客戶端系統及保護客戶端系統免受計算機安全威脅的網絡調節器的示範性配置。

圖1-b展示根據本發明的一些實施例的客戶端系統及網絡調節器的替代配置。

圖2展示根據本發明的一些實施例的與網絡調節器協作的一組遠程伺服器。

圖3圖解說明根據本發明的一些實施例的客戶端系統的示範性硬體配置。

圖4圖解說明根據本發明的一些實施例的網絡調節器的示範性硬體配置。

圖5圖解說明根據本發明的一些實施例的管理裝置的示範性硬體配置。

圖6展示根據本發明的一些實施例的在受保護客戶端系統上執行的一組示範性軟體組件。

圖7展示根據本發明的一些實施例的在網絡調節器上執行的一組示範性軟體組件。

圖8圖解說明根據本發明的一些實施例的在路由器上執行的示範性軟體。

圖9展示根據本發明的一些實施例的在管理裝置上執行的示範性軟體。

圖10展示根據本發明的一些實施例的由網絡調節器執行的示範性步驟序列。

圖11展示根據本發明的一些實施例的在網絡服務接管過程期間執行的路由器、網絡調節器及配置伺服器之間的示範性數據交換。

圖12展示根據本發明的一些實施例的在網絡服務接管過程期間由網絡調節器執行的示範性步驟序列。

圖13展示根據本發明的一些實施例的在網絡服務接管期間執行的替代數據交換。

圖14展示根據本發明的一些實施例的由網絡調節器與配置伺服器協作執行以執行網絡服務接管的示範性步驟序列。

圖15展示根據本發明的一些實施例的在網絡服務接管過程的另一實例期間執行的路由器、網絡調節器及客戶端系統之間的數據交換。

圖16展示根據本發明的一些實施例的在網絡服務接管過程期間由網絡調節器執行的另一示範性步驟序列。

圖17圖解說明作為裝置特定代理安裝的一部分的在客戶端系統、網絡調節器及配置伺服器之間的示範性數據交換。

圖18圖解說明根據本發明的一些實施例的在代理安裝過程期間由網絡調節器執行的示範性步驟序列。

圖19-a圖解說明本發明的一實施例，其中根據本發明的一些實施例在安全伺服器處對網絡業務的一部分進行掃描。

圖19-b展示本發明的一實施例，其中根據本發明的一些實施例由網絡調節器對網絡業務的一部分進行掃描。

圖20展示根據本發明的一些實施例的作為對虛擬專用網絡(vpn)實用代理進行配置的一部分的在客戶端系統、網絡調節器及配置伺服器之間的示範性數據交換及用於受保護客戶端系統的安全連接。

圖21圖解說明根據本發明的一些實施例的由客戶端系統執行以操作vpn代理的示範性步驟序列。

具體實施方式

在以下描述中，應理解，結構之間的所有所引用連接可為直接操作連接或通過中間結構的間接操作連接。一組元素包含一或多個元素。對元素的任何引用應理解為指代至少一個元素。多個元素包含至少兩個元素。除非另有需要，否則任何所描述方法步驟不需要一定以特定所圖解說明次序執行。從第二元素導出的第一元素(例如，數據)涵蓋等於所述第二元素的第一元素以及通過處理所述第二元素而產生的第一元素及任選地其它數據。根據參數做出確定或決策涵蓋根據所述參數及任選地根據其它數據做出確定或決策。除非另外規定，否則一些數量/數據的指示符可為數量/數據本身，或與所述數量/數據本身不同的指示符。計算機安全涵蓋保護用戶及設備免受對數據及/或硬體的非預期或未授權存取、免受對數據及/或硬體的非預期或未授權修改，及免受對數據及/或硬體的破壞。電腦程式是執行任務的處理器指令序列。在本發明的一些實施例中所描述的電腦程式可為獨立軟體實體或其它電腦程式的子實體(例如，子例程、庫)。當兩個裝置的網絡地址屬於同一子網絡時及/或當兩個裝置具有同一廣播地址時，將所述兩個裝置稱為連接到或屬於同一本地網絡。隧道是連接到通信網絡的兩個實體之間的虛擬點對點連接。計算機可讀媒體涵蓋非暫時性媒體(例如磁性媒體、光學媒體及半導體存儲媒體(例如，硬驅動器、光碟、快閃記憶體、dram))以及通信鏈路(例如導電纜線及光纖光學鏈路)。根據一些實施例，本發明尤其提供計算機系統，所述計算機系統包括經編程以執行本文中所描述的方法的硬體(例如，一或多個處理器)，以及用以執行本文中所描述的方法的計算機可讀媒體編碼指令。

以下描述通過實例的方式且不必通過限制方式圖解說明本發明的實施例：

圖1-a到1-b展示根據本發明的一些實施例的示範性網絡配置10a到10b，其中多個客戶端系統12a到12f通過本地網絡14互連且進一步連接到擴展網絡16，例如網際網路。客戶端系統12a到12f可表示具有處理器、存儲器及通信接口的任何電子裝置。示範性客戶端系統12a到12f包含個人計算機、膝上型計算機、平板計算機、移動電信裝置(例如，智慧型電話)、媒體播放器、tv、遊戲控制臺、家用電器(例如，冰箱、恆溫器、智能加熱及/或照明系統)及可穿戴裝置(例如，智能手錶、運動及健身設備)等等。本地網絡14可包括區域網(lan)。示範性本地網絡14可包含家庭網絡及公司網絡等等。

路由器19包括實現客戶端系統12a到12f之間的通信及/或客戶端系統12a到12f到擴展網絡16的接入的電子裝置。在一些實施例中，路由器19充當本地網絡14與擴展網絡16之間的網關且給客戶端系統12a到12f提供一組網絡服務。除非另外規定，否則本文中使用術語網絡服務來表示實現客戶端系統12a到12f的互通信以及客戶端系統12a到12f與其它實體之間的通信的服務。舉例來說，此類服務可包含將網絡配置參數(例如，網絡地址)分配給客戶端系統12a到12f及路由參加的端點之間的通信。示範性網絡服務實施動態主機配置協議(dhcp)。

圖1-a到1-b進一步展示連接到本地網絡14的網絡調節器18。在一些實施例中，網絡調節器18包括經配置以為客戶端系統12a到12f執行各種服務的網絡器具。此類服務尤其包含計算機安全服務(例如，反惡意軟體、入侵檢測、反間諜軟體等)、裝置管理(例如，對客戶端系統12a到12f的遠程配置)、家長控制服務、安全通信服務(例如，虛擬專用網絡–vpn)及遠程技術協助(例如，裝置及/或網絡疑難解答)。

在根據本發明的一些實施例的典型應用中，將網絡調節器18引入到已通過路由器19配置及管理的本地網絡。在一些實施例中，在安裝時，調節器18從路由器19接管例如dhcp等網絡服務，且將自身安裝於本地網絡14與擴展網絡16之間的網關位置中，使得客戶端系統12a到12f與擴展網絡16之間的業務的至少一部分穿越網絡調節器18(參見圖1-a)。將網絡調節器18放置於網關位置可為優選的，這是因為在一些實施例中，調節器18通過將至少一些業務(例如，http請求)從客戶端系統12a到12f重新引導到安全伺服器而提供計算機安全服務。使調節器18位於網關位置可促成對此業務的攔截。

在例如圖1-b中的實例等一些實施例中，路由器19可在安裝調節器18之後繼續作為本地網絡14的網關操作，但在此類情形中，網絡調節器18優選地定位於客戶端系統12a到12f與現有網關(即，路由器19)之間，使得調節器18與客戶端系統12a到12f屬於同一本地網絡。此位置是優選的，這是因為在一些實施例中，網絡調節器18經配置以與遠程伺服器協作以檢測每一客戶端系統的類型(例如，智慧型電話對pc)，且作為響應，將裝置特定實用代理遞送到客戶端系統12a到12f中的一些。其中調節器18並非本地網絡14的成員(例如，將調節器18放置於路由器19與擴展網絡16之間)的配置可使此裝置發現及代理遞送更困難。

在一些實施例中，客戶端系統12a到12f由用戶/管理員使用在連接到擴展網絡16(例如，網際網路)的管理裝置20上執行的軟體來遠程監視、管理及/或配置。示範性管理裝置20包含智慧型電話及個人計算機系統等等。裝置20可暴露圖形用戶接口(gui)，從而允許用戶遠程地配置及/或管理客戶端系統12a到12f的操作(舉例來說，設定配置選項及/或接收關於在相應客戶端系統上發生的事件的通知)。

在一些實施例中，網絡調節器18可與一組遠程計算機系統協作以便為客戶端系統12a到12f執行各種服務。示範性遠程計算機系統包含圖2中所圖解說明的安全伺服器50及配置伺服器52。伺服器50及52可包括個別機器或多個互連計算機系統的群集。在一些實施例中，網絡調節器18將去往及/或來自客戶端系統12a到12f的業務中的一些或全部重新引導到安全伺服器50。伺服器50可接著執行威脅檢測操作(例如，惡意軟體檢測、阻擋接入惡意或欺騙性網站、入侵預防等)以保護客戶端系統12a到12f免受計算機安全威脅。安全伺服器50可進一步連接到事件資料庫55，所述事件資料庫包括多個安全記錄，每一安全記錄包含指示安全事件的數據以及相應事件與受保護客戶端系統之間的關聯性的指示符。

通過安全伺服器50路由去往/來自受保護客戶端系統的業務的一個優點是其允許相應客戶端系統離開本地網絡14同時仍受益於保護。下文以全面細節描述此類配置。

在一些實施例中，配置伺服器52與管理裝置20協作以配置調節器18、路由器19及/或受保護客戶端系統12的裝置管理及/或安全設定。伺服器52可通信地連接到訂戶資料庫54及裝置特徵資料庫56。根據本發明的一些實施例，訂戶資料庫54可存儲多個預訂記錄，每一預訂記錄指示受裝置管理的一組客戶端系統。在一個實施例中，每一預訂記錄唯一地與一相異網絡調節器18相關聯。在此類實施例中，使用相應網絡調節器來配置及/或以其它方式受服務的所有客戶端系統12(例如，圖1-a中的連接到本地網絡14的客戶端系統12a到12f)與同一預訂記錄相關聯。每一預訂記錄可包含預訂周期的指示符及/或描述(舉例來說)所要安全級別或對所預訂的服務的選擇的預訂參數集合。預訂可根據服務級別協定(sla)來管理。

在一些實施例中，裝置特徵資料庫56包括指示每一客戶端系統12的可配置特徵及/或每一客戶端系統的當前配置設定的一組記錄。資料庫56可進一步包括可用於確定客戶端系統12的裝置類型的一組綜合記錄。此類記錄可包含對應於來自各種製造商、使用各種作業系統(例如，對)的各種裝置類型(例如，路由器、智慧型電話、可穿戴裝置等)、品牌及型號的條目。示範性條目可尤其包括相應裝置類型是否使用特定網絡協議(例如，http、)來通信的指示符、由相應裝置類型暴露的登錄接口的布局的指示符等。

圖3到4到5分別展示客戶端系統12、網絡調節器18及管理裝置20的示範性硬體配置。在不失去一般性的情況下，所圖解說明的配置對應於計算機系統(圖3到4)及智慧型電話(圖5)。其它系統(例如，平板計算機)的硬體配置可不同於圖3到4到5中所圖解說明的硬體配置。處理器22、122及222中的每一者包括經配置以執行一組信號及/或數據的計算及/或邏輯運算的物理裝置(例如，微處理器、形成於半導體襯底上的多核心集成電路)。存儲器單元24、124及224可包括易失性計算機可讀媒體(例如，ram)，所述易失性計算機可讀媒體存儲在執行操作的過程中分別由處理器22、122及222存取或產生的數據/信號。

輸入裝置26、226可包含計算機鍵盤、滑鼠及麥克風等等，包含允許用戶將數據及/或指令引入到相應系統中的相應硬體接口及/或適配器。輸出裝置28、228可包含顯示裝置(例如監視器)及揚聲器等等以及允許相應系統將數據傳遞到用戶的硬體接口/適配器(例如圖形卡)。在一些實施例中，輸入及輸出裝置共享一個共同硬體(例如，觸控螢幕)。存儲裝置32、132及232包含實現軟體指令及/或數據的非易失性存儲、讀取及寫入的計算機可讀媒體。示範性存儲裝置包含磁碟及光碟及快閃記憶體裝置以及可裝卸媒體(例如cd及/或dvd磁碟及驅動器)。

網絡適配器34、134分別使得客戶端系統12及網絡調節器18能夠連接到電子通信網絡(例如本地網絡14)及/或其它裝置/計算機系統。通信裝置40(圖5)使得管理裝置20能夠連接到擴展網絡16(例如，網際網路)且可包含電信硬體(電磁波發射器/接收器、天線等)。取決於裝置類型及配置，管理裝置20可進一步包含地理定位裝置42(例如，gps接收器)及一組感測裝置136(例如，運動傳感器、光傳感器等)。

控制器集線器30、130、230表示多個系統、外圍裝置及/或晶片集總線及/或實現每一相應系統的處理器與其餘硬體組件之間的通信的所有其它電路。在示範性客戶端系統12(圖3)中，集線器30可包括存儲器控制器、輸入/輸出(i/o)控制器及中斷控制器。取決於硬體製造商，一些此類控制器可併入到單個集成電路中及/或可與處理器集成在一起。

圖6展示根據本發明的一些實施例的在客戶端系統12上執行的示範性軟體組件。此軟體可包含提供客戶端系統12的硬體與在相應客戶端系統上執行的一組軟體應用程式之間的接口的作業系統(os)40。軟體應用程式包含經配置以給相應客戶端系統提供各種服務(例如安全服務、裝置管理服務、家長控制服務、安全通信服務(例如，虛擬專用網絡–vpn)等)的實用代理41。在一些實施例中，實用代理41經配置以存取及/或修改客戶端系統12的一組配置選項(例如，網絡配置參數、功率管理參數、安全參數、裝置特定參數(例如在遠程控制式恆溫器的情形中的所要溫度或在遠程控制式家庭照明管理器的情形中對燈的選擇)等)。在一些實施例中，在客戶端系統12上安裝代理41是由網絡調節器18起始及/或促成，如下文更詳細地展示。

圖7展示根據本發明的一些實施例的在網絡調節器18上執行的一組軟體組件。此類組件可尤其包含裝置檢測模塊42及dhcp模塊43。在一些實施例中，模塊43為本地網絡14提供dhcp服務。此類服務可包含將網際網路協議(ip)配置信息遞送到請求接入本地網絡14及/或擴展網絡16的客戶端。裝置檢測模塊42可經配置以與遠程配置伺服器協作以檢測客戶端系統12的裝置類型，如下文所展示。在一些實施例中，調節器18進一步執行網絡中斷模塊44，所述網絡中斷模塊經配置以執行如下文詳細展示的網絡服務接管。

圖8展示根據本創新的一些實施例的在路由器19上執行的一組示範性軟體組件。此類軟體組件可包含作業系統140及包含dhcp伺服器45的一組應用程式。伺服器45可用於將網絡配置參數(例如，ip地址)分配給客戶端系統12a到12f以便建立本地網絡14。

圖9展示根據本發明的一些實施例的在管理裝置20(例如，智慧型電話)上執行的一組示範性軟體組件。此類軟體組件可包含作業系統240及一組應用程式。應用程式包含經配置以使得用戶能夠遠程地配置客戶端系統12a到12f的管理應用程式46。對系統12a到12f進行配置可尤其包含對客戶端特定安全設定進行配置、對客戶端特定網絡接入參數(例如，連接速度等)進行配置及發出維護任務(例如，軟體升級、磁碟清理操作等)。管理應用程式46可將管理圖形用戶接口(gui)48暴露給管理裝置20的用戶。

圖10展示根據本發明的一些實施例的由網絡調節器18執行的步驟序列。舉例來說，此序列可在安裝網絡調節器18後即刻執行或在首先將調節器18引入到本地網絡14時執行。在步驟300中，調節器18自動地檢測本文中表示網絡服務的現有提供者的路由器19。在一些實施例中，調節器18接著從路由器19接管網絡服務中的一些。此接管可包括關閉路由器19的功能性中的一些或以其它方式使其失去能力，且代替路由器19作為與本地網絡14相關聯的網絡服務的至少一部分的提供者。在替代實施例中，服務接管可包括除由路由器19管理的那些網絡服務外還提供一組替代網絡服務而實際上不使所述路由器失去能力。在一些實施例中，步驟302進一步包括將網絡調節器18安裝於本地網絡14與擴展網絡16之間的網關位置，使得客戶端系統12a到12f與擴展網絡16之間的網絡業務的至少一部分穿越調節器18。

在步驟序列304到306中，網絡調節器18可自動地檢測屬於本地網絡14的裝置(即，客戶端系統12a到12f)，且將裝置特定實用代理41分配給客戶端系統12a到12f中的至少一些。另一步驟308為客戶端系統12a到12f執行一組計算機安全服務。下文進一步詳細地描述步驟300到308。

網絡服務接管

在本發明的一些實施例中，可通過網絡調節器18關斷路由器19的dhcp服務或以其它方式使其失去能力。此效應可通過數個方法獲得，下文例示所述方法中的一些。dhcp服務在本文中僅用作實例；下文所描述的系統及方法可適於接管其它網絡服務。

在稱作dhcp匱乏的一種示範性情境中，網絡調節器18可使用網絡中斷模塊44來模擬多個虛構裝置且從路由器19請求每一虛構裝置的網絡地址。此類虛構裝置的計數可經選擇以便完全佔據由路由器19的dhcp伺服器45提供的用於租賃的可用ip地址池。以此方式，雖然伺服器45繼續操作，但伺服器45不再能夠將ip地址提供給本地網絡14上的客戶端系統。在一些實施例中，網絡調節器18可接著使用dhcp模塊43來廣播其自身dhcp租賃提供，從而有效地迫使客戶端系統12a到12f使用調節器18作為用於客戶端系統12a到12f與擴展網絡16之間的業務的至少一部分的默認dhcp伺服器及網關裝置。

dhcp服務接管的另一組示範性方法包括自動地檢測現有dhcp服務提供者(例如，路由器19)且停用相應裝置(舉例來說，通過自動地重新配置其網絡及/或其它功能參數)。一種此類情境涉及網絡調節器18與配置伺服器52以圖11到12中所圖解說明的方式協作。

在一些實施例中，步驟320請求重新配置路由器19且接著從用戶接收準許。相應用戶可為調節器18及/或本地網絡14的擁有者或管理員，舉例來說，如由配置伺服器52維持的訂戶資料庫54(參見圖2)中所列示。舉例來說，獲得準許可包含將通知發送到管理裝置20，此可由調節器18或配置伺服器52完成。裝置20的管理gui48可接著暴露輸入欄位，從而允許用戶指示他/她是否允許重新配置路由器19的參數。步驟320可進一步包含經由管理裝置20直接從用戶或從存儲於資料庫54中的預訂記錄獲得路由器19的登錄憑證(例如，用戶名、密碼等)。

在步驟322中，網絡調節器18例如通過分析在dhcp請求/響應交換期間從路由器19接收的數據而收集關於路由器19的裝置類型指示信息。此數據可尤其包含路由器19的媒體存取控制(mac)地址及驗證標頭。在一些實施例中，網絡調節器18可進一步嘗試暴露路由器19的登錄接口，且進一步從相應接口提取裝置類型指示數據(舉例來說，確定接口是否為html文檔及確定相應接口的網絡地址)。調節器18的一些實施例甚至可例如通過使用圖像處理算法而提取相應接口的某些視覺特徵。

接著將裝置類型指示數據61發送到配置伺服器52(步驟324)，所述配置伺服器可根據此數據及/或根據存儲於裝置特徵資料庫56(圖2)中的數據而識別路由器19的裝置類型(例如，製造商、型號、家族、子家族、固件版本等)。配置伺服器52可接著根據從調節器18接收的裝置類型指示數據而配置針對路由器19的特定裝置類型定製的登錄試用60，且可將登錄試用數據發射到調節器18。

在一些實施例中，網絡調節器18可在反覆試錯嘗試中重複步驟326到334的循環以登入到路由器19中。步驟328到330可暴露路由器19的登錄接口且將登錄試用數據60及/或用戶憑證發射到路由器19。將登錄是否成功的指示符發送回到伺服器52(步驟332)；可使用成功指示符來進一步識別路由器19的裝置類型。

一旦實現成功登錄，在步驟336中，網絡調節器18可從配置伺服器52獲得一組路由器配置命令63，命令63是根據路由器的所識別類型具體制定且旨在使路由器19或由路由器19提供的至少一些網絡服務失去能力。示範性路由器配置命令63可指令路由器19關閉、重新起動、暴露配置接口及改變配置設定等等。另一示範性配置命令63包括經配置以暴露路由器19的配置接口的http請求。在一些實施例中，命令63可自動地填充所暴露接口的欄位集合。在一些實施例中，命令63包括用於填充路由器19的配置接口的欄位集合的參數值集合。

在步驟338中，網絡調節器18可將配置命令63發射到路由器19。為完成從路由器19的dhcp服務接管，調節器18可採用dhcp模塊43(圖7)來將其自身dhcp租賃提供廣播給客戶端系統12a到12f。

在一些實施例中，網絡調節器18可在調節器18的擁有者/管理員決定卸載調節器18時將另一組命令發射到路由器19。在一個此類實例中，調節器18可指令路由器19恢復在安裝網絡調節器18之前有效的設定。

圖13到14圖解說明根據本發明的一些實施例的由網絡調節器18進行的網絡服務接管的替代方法。所圖解說明方法包括對上文關於圖11到12所描述的方法的變化形式。替代採用網絡調節器18來主動地重新配置網絡設定及/或(部分地)停用路由器19，在圖13到14中所圖解說明的方法中，此類動作直接由配置伺服器52執行，而調節器18用作代理或中繼器。一些實施例使用隧道(即，點對點安全連接/通信通道)進行路由器19的遠程配置。

響應於安裝於本地網絡14內，網絡調節器18可將註冊消息發射到伺服器50-52，所述註冊消息包含相應網絡調節器、路由器19及連接到相應本地網絡的客戶端系統的唯一識別指示符。因此，伺服器50-52可選擇性地識別每一個別裝置且使每一客戶端系統12及路由器19與預訂及/或與相應網絡調節器相關聯。此向配置伺服器52註冊的過程允許伺服器52接受來自調節器18的隧道連接。

響應於獲得來自用戶對重新配置本地網絡的準許(步驟340)，網絡調節器18可開通將調節器18連接到伺服器52的通信隧道69。示範性隧道包括安全外殼(ssh)隧道，即，使用ssh協議的版本建立的隧道。在一些實施例中，網絡調節器18採用埠轉發策略來將經由隧道69接收的網絡業務重新引導到路由器19上及/或經由隧道69將從路由器19接收的通信重新引導到伺服器52上。此埠轉發可使用聯網技術領域中已知的任何方法(舉例來說，使用代理、socks客戶端、網絡地址翻譯(nat)等)而實現。

通過使用埠轉發，配置伺服器52的一些實施例可因此經由隧道69遠程地配置路由器19。此遠程配置可包含上文關於圖11到12所描述的操作中的一些操作，例如確定路由器19的裝置類型、將配置命令發送到路由器19等。

響應於確定了路由器19的裝置類型，伺服器52可將隧道請求68發送到調節器18，所述隧道請求指令網絡調節器18建立隧道69(步驟346)。所述隧道可配置有埠轉發，使得由伺服器52發送到調節器18的通信將被轉發到路由器19上。在步驟348中，伺服器52可接著經由隧道69發射登錄數據及/或路由器配置命令以指令路由器19停用或以其它方式重新配置路由器19的dhcp服務。

圖15到16圖解說明根據本發明的一些實施例的從路由器19接管網絡服務的又一方法。當被引入到本地網絡14時，調節器18可將地址請求70發送到當前網絡服務提供者(例如，路由器19)，從而請求網絡地址(步驟350)。作為響應，路由器19可將地址提供72傳回到調節器18。請求70及傳回72可形成標準地址指派協議(舉例來說，dhcp)的一部分。步驟352可進一步包括接受地址提供72且配置網絡調節器18以使用相應網絡地址及/或其它網絡參數(例如，網關、dns伺服器等)。

接下來，在步驟354中，調節器18可獲得人類操作者的準許以執行網絡服務接管過程(參見上文，關於圖12)。響應於獲得準許，在步驟356中，網絡調節器18可根據先前所接收地址提供72的參數而確定目標網絡地址集合。在使用dhcp的一些實施例中，提供72包括由當前網絡服務提供者管理及/或可由當前網絡服務提供者用於指派的地址池(例如，地址值範圍)的指示符。調節器18可從相應地址池選擇所述目標網絡地址集合。在一些實施例中，所述目標集合包含所述池的所有地址。在其它實施例中，所述目標集合包含所述池的所有地址，惟當前指派給路由器19的地址除外。

步驟358可配置網絡調節器18以使用所述目標集合的所有地址。在一些實施例中，步驟358包括創建一組虛構裝置(別名)，且將目標網絡地址集合的子集指派給每一此虛構裝置。接下來，在步驟序列360到366中，網絡調節器18可利用地址衝突檢測(acd)機制來逐步迫使客戶端12a到12f放棄其當前所指派網絡地址。同時，調節器18可使用dhcp模塊36來將新網絡地址集合及/或其它配置參數提供給客戶端系統12a到12f，因此完成網絡服務接管過程。

示範性acd機制描述於公司的網絡工作組於2008年7月發布的ipv4地址衝突檢測請求意見(rfc5227)中。所描述acd機製作為網絡地址指派(舉例來說，在用以租賃網絡地址的初始提供後或在相應網絡地址的租賃續訂後即刻發生)的一部分要求每一客戶端及/或其相應網絡服務提供者檢驗相應網絡地址是否可用，即，尚未被另一裝置使用。此類檢驗可使用地址解析協議(arp)及鄰居發現協議(ndp)等等中所描述的工具及/或機制。示範性檢驗包括相應客戶端及/或提供者將探測項(例如，經專門配置網絡包、試通(ping)、arp試通(arping)等)發出到當前所檢驗網絡地址。當發出探測項的客戶端及/或提供者未接收到對應探測項的回覆時，相應地址被認為是可用的且可(重新)指派給相應客戶端。相比來說，當客戶端及/或提供者接收到對應探測項的回覆時，相應地址被認為被佔用且不再(重新)指派給相應客戶端。

上文所描述的acd機制由網絡調節器18的一些實施例出於接管目的而利用，如圖15到16中所展示。在步驟序列360到362中，調節器18可監聽分別由客戶端系統12及/或路由器19發布的地址可用性探測項64a到64b。響應於檢測到此探測項，步驟364確定所探測地址是否匹配在步驟356中確定的目標網絡地址集合的任何成員。在不匹配時，調節器18返回到監聽地址可用性探測項。

當所探測地址匹配目標地址集合的成員時，在步驟366中，調節器18可將探測項回復66a到66b傳回到相應探測項的發送者，所述探測項回復經配置以指示相應網絡地址不可用。在一些實施例中，步驟366包括由網絡調節器18創建的虛構裝置(別名)發布配置有相應虛構裝置的細節的探測項回復。當客戶端系統12經配置以支持衝突檢測時，接收到此傳回探測項可確定客戶端系統12停止使用相應網絡地址且請求新地址。此新請求將針對目標地址集合中的所有地址失敗，這是因為其將觸發返回步驟360到366。通過針對每一客戶端系統12a到12f重複步驟序列360到366，網絡調節器18可因此逐步停用由路由器19提供的網絡服務且迫使客戶端系統12a到12f使用由調節器18發布的新網絡地址集合。

自動裝置發現及代理提供

在已將網絡調節器18自身作為網關及/或本地網絡14的網絡服務的提供者安裝的情況下，所述網絡調節器可進行到將實用代理41(例如，圖6)分配給連接到本地網絡14的客戶端系統12a到12f。圖17展示根據本發明的一些實施例的客戶端系統12、網絡調節器18及客戶端配置伺服器52之間的示範性數據交換，所述交換是在裝置發現及代理提供期間發生。此類交換可在安裝網絡調節器18後即刻發生以及在首先將新客戶端系統引入到本地網絡14時發生。

圖18中圖解說明由網絡調節器18執行以遞送裝置特定實用代理的示範性步驟序列。在一些實施例中，調節器18可等待來自本地客戶端系統的連接請求(步驟400)。示範性連接請求包括http請求。當客戶端系統12嘗試接入擴展網絡16上的地址時，調節器18可迫使相應客戶端系統安裝實用代理41。在一些實施例中，調節器18可將當前網絡接入請求重新引導到配置伺服器52，所述配置伺服器可給相應客戶端系統提供代理安裝程序75(圖17)。在替代實施例中，調節器18可從伺服器52獲得代理安裝程序75，且接著將安裝程序75推送到相應客戶端系統。

在一些實施例中，安裝程序75經配置以確定客戶端系統12(或管理裝置20)以向用戶暴露確認接口，從而請求用戶同意安裝代理41。安裝程序75可進一步請求用戶確認用戶同意相應預訂的條款(例如，如sla中所列示)。當用戶指示同意時，安裝程序75可安裝且執行代理41。在一些實施例中，安裝程序75及/或網絡調節器18可使相應客戶端系統向客戶端配置伺服器52註冊(圖18中的步驟418)。此註冊可包含伺服器52使相應客戶端系統與附加到網絡調節器18的預訂記錄相關聯。

考慮到當前連接到通信網絡及網際網路的多種多樣的裝置，按每一客戶端系統的裝置類型(例如運行os或等的智慧型電話、平板計算機、智能手錶)定製遞送到受保護客戶端系統12a到12f的實用代理41可為優選的。示範性步驟400到406(圖18)圖解說明確定客戶端系統12的裝置類型的示範性方法。網絡調節器18可通過從http請求提取用戶代理指示符(用戶代理指示符通常含有關於http請求發送者的瀏覽器類型及作業系統兩者的信息)而獲得裝置類型指示數據。調節器18可進一步檢測由相應客戶端系統使用的一組應用程式、協議及/或服務(舉例來說，通過對相應服務及/或協議進行掃描(步驟404))。此掃描可包含將探測項發送出到相應客戶端系統的特定埠且監聽響應。所檢測到的協議及服務可尤其包含簡單網絡管理協議(snmp)及網絡映射程序(nmap)。網絡調節器18可接著根據此裝置類型指示數據使用一組規則、決策樹及/或機器學習算法而在本地確定客戶端系統12的裝置類型。在替代實施例中，將裝置類型指示數據發送到配置伺服器52(步驟406)，所述配置伺服器根據所接收數據及根據存儲於裝置特徵資料庫56中的信息來識別裝置類型。舉例來說，伺服器52可嘗試使客戶端系統12的特徵與資料庫56的各種條目匹配，其中每一此條目可對應於相異裝置類型(可能包含產品的相異版本、相異作業系統等)。裝置發現可以反覆方式進行：伺服器52可根據關於客戶端系統的可用信息執行對裝置類型的初步確定。響應於所述初步確定，伺服器52可從網絡調節器18請求關於客戶端系統的其它裝置類型指示數據。越來越多的裝置類型指示數據被發送到配置伺服器52，直到實現對客戶端系統12的裝置類型的肯定識別為止。當成功識別裝置類型時，伺服器52可將通知發送到調節器18。響應於接收到所述通知(步驟408)，調節器18可將在步驟400中攔截的網絡連接請求重新引導到代理安裝程序。

替代的裝置發現及/或代理提供情境可涉及以與上文關於路由器19的自動檢測(圖13到14)所描述的方式類似的方式開通隧道。在一個此實例中，調節器18開通連接調節器18與伺服器52的通信隧道(例如，ssh隧道)。相應隧道可配置有埠轉發，使得從伺服器52接收的通信由網絡調節器18重新引導到相應客戶端系統12。伺服器52可接著經由隧道將代理安裝程序直接遞送到客戶端系統12，且可進一步指令客戶端系統12安裝相應代理。伺服器52還可使用上文所描述的方法中的任一者來使用ssh隧道從客戶端系統12獲得裝置類型指示信息。

可使用本文中所描述的系統及方法提供各種各樣的實用代理。經配置以提供安全服務的示範性實用代理41可對客戶端系統12執行安全評估(例如，本地惡意軟體掃描)且可將安全評估數據發送到配置伺服器52或安全伺服器50。所述伺服器可接著將安全指示符轉發到管理裝置20以顯示給用戶/管理員。顯示給用戶/管理員的示範性安全指示符可尤其包含在客戶端系統12上執行的特定軟體對象(例如，作業系統)是否是最新的指示符及用於保護客戶端系統12的密碼的強度的指示符。由安全代理執行的其它示範性動作包含為相應客戶端系統更新軟體及/或安全政策。在一些實施例中，代理41經配置以使用網絡包檢查算法過濾去往/來自客戶端系統12的網絡業務以確定(舉例來說)客戶端系統12是否遭受惡意攻擊。下文詳述提供計算機安全服務的實用代理的額外功能性。

經配置以提供安全通信服務的示範性實用代理41包含虛擬專用網絡(vpn)代理。此類代理可在客戶端系統12離開本地網絡14時(舉例來說，當用戶帶著他/她的行動電話離開家時)保護客戶端系統12。此代理可與網絡調節器18及/或配置伺服器52協作以開通安全通信隧道及/或在相應客戶端系統與安全伺服器50之間建立vpn(下文有更多細節)。

經配置以提供家長控制服務的示範性實用代理41可監視客戶端系統12的使用且經由管理裝置20向監督者用戶(例如，家長)報告使用模式。代理41可進一步阻止客戶端系統12接入某些遠程資源(例如，ip地址、網站等)或阻止其使用某些本地安裝的應用程式(例如，遊戲)。此阻擋可永久地或根據用戶特定計劃而強制執行。

經配置以提供遠程技術協助的示範性實用代理41可自動地配置及/或開通客戶端系統12與配置伺服器52之間的安全通信通道(例如，ssh隧道)。在可能不具有來自客戶端系統12的用戶的明確參與或協助的情況下，配置及/或疑難解答命令可接著從伺服器52發射到客戶端系統12。

一些客戶端系統(例如家用電器、可穿戴裝置等)可不能夠安裝實用代理，如上文所指示。然而，此類裝置可包含實現相應裝置的遠程命令的內置配置及/或裝置管理代理。本發明的一些實施例可使用現有管理代理及裝置特定協議及/或通信方法來將參數值更新傳遞到此類裝置。甚至對於此類裝置，正確地識別裝置類型使得配置伺服器52能夠恰當地格式化且將配置命令傳遞到相應客戶端系統。為促成對此類客戶端系統的裝置類型的確定，網絡調節器18可主動地剖析從相應客戶端系統接收的通信或將相應通信重新路由到配置伺服器52。

在一些實施例中，網絡調節器18可在成功安裝實用代理41後即刻調節客戶端系統12到擴展網絡16的接入。如圖18中的步驟416所圖解說明，一些實施例可僅響應於代理安裝而允許客戶端系統接入擴展網絡16。此類配置可改進客戶端系統12及/或本地網絡14的安全。

裝置管理

一旦實用代理41起作用，其可用於執行各種裝置管理任務，例如遠程地配置相應客戶端系統12a到12f。示範性配置任務尤其包含接通或關斷客戶端系統(例如，裝備或解除家庭安全系統、開燈及關燈)、設定客戶端系統的功能參數的值(例如，設定智能恆溫器上的所要溫度)、配置網絡及/或安全特徵(例如，阻擋或允許特定客戶端系統接入網絡14、配置防火牆參數、配置家長控制應用程式及/或特徵)、為在相應客戶端系統上執行的組件執行軟體更新及執行關於相應客戶端系統的技術協助/疑難解答任務。

在一些實施例中，用戶/管理員可經由由管理裝置20(例如，運行管理應用程式的智慧型電話)暴露的管理gui48而遠程地管理客戶端系統12。在網絡調節器18向配置伺服器52註冊之後，伺服器52可使調節器18及管理裝置20與預訂唯一地相關聯。相應預訂還允許使調節器18與受相應網絡調節器保護的一組客戶端系統12a到12f唯一地相關聯。因此，管理裝置20的用戶可能夠在配置伺服器52的協助下從管理gui48選擇特定客戶端系統來遠程地管理。實際裝置管理(例如，設定參數值)可包括在管理裝置20與相應客戶端系統之間發射數據及/或配置命令。

在一些實施例中，將配置數據/命令發射到目標客戶端系統使用上文關於配置路由器19(圖13到14)及裝置發現所描述的系統及方法的變化形式。響應於接收到來自管理裝置20的裝置管理請求，伺服器52可將通知發送到網絡調節器18，所述通知致使調節器18及/或目標客戶端系統開通伺服器52與調節器18之間及/或伺服器52與目標客戶端系統之間的通信隧道(例如，ssh隧道)。所述隧道可配置有如上文所描述的埠轉發。此隧道可接著用於將配置命令從伺服器52發射到目標客戶端系統，舉例來說，相應命令經制定以改變相應客戶端系統的配置設定。在一些實施例中，此類配置命令由實用代理41執行。當目標客戶端系統缺乏實用代理或無法安裝此代理時，配置命令瞄向相應裝置的本地管理軟體。

在一個示範性應用中，用戶可使用上文所描述的方法請求對特定目標客戶端系統的技術協助/疑難解答。技術協助可接著在不具有相應用戶的進一步參與的情況下自動地進行。作為疑難解答的一部分，伺服器52的一些實施例可確定目標客戶端系統以安裝經配置以解決特定技術問題的專用實用代理。

計算機安全保護

圖19-a到19-b展示其中網絡調節器18與安全伺服器50協作以保護客戶端系統12a到12f免受計算機安全威脅(例如惡意軟體、廣告軟體、間諜軟體及網絡入侵)的示範性實施例。在圖19-a的實施例中，網絡調節器18通過安全伺服器50重新路由受保護客戶端系統12與本地網絡外部的計算機系統之間的數據業務(本文中由網絡包80圖解說明)中的一些或全部。舉例來說，此重新路由可通過安裝網絡調節器18作為本地網絡14與擴展網絡16之間的網關且使用調節器18來攔截網絡業務並主動地將其重新引導到伺服器50而實現。在如圖19-a中所圖解說明的實施例中，威脅檢測由安全伺服器50使用此項技術中已知的任何方法(例如，通過分析網絡包80以確定其是否含有惡意軟體或其是否指示網絡入侵)執行。

在一些實施例中，如圖19-b中所圖解說明，威脅檢測由網絡調節器18執行。舉例來說，此本地檢測可包括對包內容進行過濾。調節器18可通過從安全伺服器50下載一組過濾參數82(例如，惡意軟體指示特徵符號)而使惡意軟體檢測算法保持最新。一些實施例可組合調節器18上的威脅檢測與安全伺服器50處的威脅檢測。在一個此類實例中，網絡調節器18可例如使用相對廉價方法對數據業務執行初步分析。調節器18可接著將可疑網絡包發送到伺服器50以進行進一步分析。

通過安全伺服器50(圖19-a)重新路由業務可具有優於執行本地安全分析的數個優點(圖19-b)。伺服器50可包括多個特意建立的高吞吐量計算機系統，且可因此能夠比調節器18高效得多地執行計算密集型業務分析，例如深度包檢查。將此類能力安裝於網絡調節器18中將大體上增加價格、複雜性及調節器18的攻擊面。具有集中式數據分析的另一優點是此類配置消除對將惡意軟體識別特徵符號及網絡包分析中所使用的其它數據的更新分配到大量分散式網絡調節器18的需要。集中式安全系統通常還被更好地裝備以對新發現的威脅做出響應。

此類計算機安全系統及方法的示範性應用包括阻擋受保護客戶端系統接入惡意或欺騙性網頁。在一個此類實例中，攔截且分析接入遠程資源的請求(例如，來自受保護客戶端系統的http請求)以確定接入所述遠程資源、網頁等是否呈現計算機安全風險。此分析可使用此項技術中已知的任何方法，舉例來說，將相應資源的地址對照已知惡意或欺騙性網頁的黑名單進行匹配、分析相應網頁的布局等。所述分析可在安全伺服器50(例如，呈如圖19-a中所展示的配置)處或在網絡調節器18(例如，如圖19-b中所展示)處執行。當分析確立接入遠程資源並不相當於計算機安全風險時，允許相應客戶端系統接入相應遠程資源。當接入被認為有風險時，可阻擋請求的客戶端系統接入相應資源。除阻擋接入外，安全伺服器50的一些實施例還將事件通知發送到管理裝置20，從而告知網絡調節器18的用戶/管理員已發生安全事件。所述通知可包含相應事件中所涉及的客戶端系統的指示符及事件的類型的指示符(例如，接入欺騙性網站)。

圖20到21中圖解說明根據本發明的一些實施例的計算機安全系統的另一示範性應用。如上文所展示，客戶端系統可在經由本地網絡14連接到網絡調節器18時受保護以免受計算機安全威脅。然而，離開網絡14(舉例來說，如在用戶帶著他/她的行動電話離開家時發生)可將相應客戶端系統暴露於各種安全風險。一些實施例確保一旦出於保護而向調節器18及配置伺服器52註冊，那麼相應客戶端系統始終受到保護。

為實現此保護，一些實施例在相應客戶端系統(例如，行動電話、平板計算機)上安裝實用代理41，實用代理41經配置以管理連接相應客戶端系統與安全伺服器50的虛擬專用網絡(vpn)。當相應客戶端系統具有內置vpn代理時，一些實施例可選擇配置現有vpn代理而非安裝實用代理41。舉例來說，當相應客戶端系統離開本地網絡14時，可起始到安全伺服器50的vpn連接(隧道)。通過甚至在遠離本地網絡14時維持與安全伺服器50的連接，一些實施例可繼續使用上文所描述的計算機安全方法(例如，經由安全伺服器50重新路由業務)來保護相應客戶端系統。

圖20展示客戶端系統12、網絡調節器18及配置伺服器52之間的示範性數據交換，所述交換作為操作vpn實用代理及與安全伺服器50的相關聯安全連接的一部分而發生。圖21展示根據本發明的一些實施例的由操作vpn實用代理的客戶端系統12執行的示範性步驟序列。

在客戶端系統12上執行的vpn實用代理可從配置伺服器52獲得用於確立與安全伺服器50的vpn隧道的連接參數88。此類參數可按客戶端系統12的裝置類型來定製，如上文所論述。在一些實施例中，步驟序列502到504確定客戶端系統12當前是否為本地網絡14(即，由網絡調節器18服務的本地網絡)的一部分。步驟502可根據此項技術中已知的任何方法(舉例來說，通過維持調節器18與相應客戶端系統之間的保持連接(keepalive)消息流84)而進行。當客戶端系統12保持連接到本地網絡14時，客戶端系統12可使用調節器18作為用於接入外部網絡16的網關，從而根據上文所描述的方法受到保護以免受計算機安全威脅。

當客戶端系統12檢測到其不再連接到本地網絡14時，在步驟510中，在客戶端系統12上執行的vpn代理可開通到安全伺服器50的vpn隧道90、根據vpn參數88配置隧道90。此後，客戶端系統12可使用vpn隧道90進行通信，例如網際網路瀏覽、消息傳送等。在替代實施例中，網絡調節器18可確定客戶端系統12已離開本地網絡14，且作為響應，通知安全伺服器50。確立隧道90可接著由伺服器50起始。

當客戶端系統12返回以接近網絡調節器18時(舉例來說，當用戶帶著他/她的行動電話返回家時)，客戶端系統12可檢測到來自網絡調節器18的網絡服務提供(例如，dhcp提供)。當接收到連接到本地網絡14的此提供時，在步驟序列514到516中，在相應客戶端系統上執行的vpn實用代理可關閉vpn隧道90且連接到本地網絡14。

本文中所描述的示範性系統及方法允許保護多個客戶端系統免受計算機安全威脅，例如惡意軟體及網絡入侵。除保護常規計算機系統外，所描述系統及方法還特別適於保護連接到網際網路的智能裝置的多樣生態系統(例如，在大眾文化中統稱作物聯網(iot)的裝置)。此類裝置的實例尤其包含可穿戴裝置(例如，智能手錶、健身手環、互動首飾)、家庭娛樂裝置(tv、媒體播放器、遊戲控制臺)、家用電器(冰箱、恆溫器、智能照明系統、家庭安全系統)。舉例來說，一些實施例允許使用統一集成解決方案保護家庭中的所有電子裝置。

一些實施例包含經配置以建立且管理互連多個受保護客戶端系統的本地網絡的網絡調節器。網絡調節器可將自身安裝於本地網絡與擴展網絡(例如網際網路)之間的網關的位置中。在一些實施例中，由網絡調節器通過遠程安全伺服器重新路由在受保護客戶端系統與本地網絡之外的實體之間交換的數據業務的至少一部分而實現保護。接著可對業務進行掃描以找出惡意軟體，且阻擋接入有風險的資源(例如，惡意或欺騙性網站)。

一些實施例確保免受計算機安全威脅的保護甚至在相應客戶端系統離開本地網絡時繼續。舉例來說，當用戶帶著他/她的行動電話離開家時，所述電話保持受保護。在一些實施例中，此保護通過自動地檢測受保護客戶端系統已離開本地網絡且作為響應而自動地啟動到安全伺服器的隧道(例如，點對點vpn連接)而實現，所述隧道用於在相應裝置遠離本地網絡時載運去往/來自所述裝置的數據業務。

在一些實施例中，網絡調節器與服務預訂唯一地相關聯，此允許對所有受保護客戶端系統(例如，對家庭內的所有智能裝置)在安全及其它方面的統一管理。安全事件(例如受保護客戶端系統接入欺騙性網站的嘗試)可因此自動地與預訂帳戶相關聯且報告給相應帳戶的聯繫人/管理員。報告安全事件可包括將通知發送到管理員的管理裝置(例如，行動電話)。在一些實施例中，此類通知由安全伺服器集中且按用戶及/或按裝置分組。在管理裝置上執行的圖形用戶接口(gui)可顯示關於每一安全事件的信息、統計數據等。本發明的一些實施例因此實現用於針對大量客戶/帳戶管理計算機安全的集中式解決方案，每一此帳戶與其自身多樣裝置群組相關聯。

除確保對連接到本地網絡的客戶端系統的保護外，一些實施例還提供用於受保護客戶端系統的自動配置、疑難解答/技術協助及遠程管理的統一解決方案。一些實施例在每一受保護裝置上安裝實用代理，所述實用代理與遠程伺服器協作以接收配置數據及/或可執行代碼。客戶端系統的用戶/管理員可經由顯示於管理裝置(例如，行動電話)上的用戶接口遠程地管理相應裝置。舉例來說，此管理可包含設定操作參數(所要家庭溫度、家長控制設定等)、應用軟體更新及疑難解答。

本發明的一些實施例經具體制定以易於使用，以便不需要計算機工程或網絡管理的專門知識。舉例來說，在安裝後，網絡調節器可即刻自動地從現有路由器接管一些網絡服務、變為本地網絡的網際網路接入的默認提供者。

所屬領域中的技術人員將清楚，可在不背離本發明的範圍的情況下以許多方式更改以上實施例。因此，本發明的範圍應由所附權利要求書及其法律等效內容來確定。