KR102145935B1 - 네트워크 종점들을 보호하기 위한 시스템들 및 방법들 - Google Patents

네트워크 종점들을 보호하기 위한 시스템들 및 방법들 Download PDF

Info

Publication number
KR102145935B1
KR102145935B1 KR1020177015936A KR20177015936A KR102145935B1 KR 102145935 B1 KR102145935 B1 KR 102145935B1 KR 1020177015936 A KR1020177015936 A KR 1020177015936A KR 20177015936 A KR20177015936 A KR 20177015936A KR 102145935 B1 KR102145935 B1 KR 102145935B1
Authority
KR
South Korea
Prior art keywords
network
address
router
probe
response
Prior art date
Application number
KR1020177015936A
Other languages
English (en)
Other versions
KR20170095851A (ko
Inventor
보그단-콘스탄틴 체베레
이오안-알렉산드루 아킴
코스민-클라우디우 스탄
안드레이 루수
Original Assignee
비트데펜더 아이피알 매니지먼트 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 비트데펜더 아이피알 매니지먼트 엘티디 filed Critical 비트데펜더 아이피알 매니지먼트 엘티디
Publication of KR20170095851A publication Critical patent/KR20170095851A/ko
Application granted granted Critical
Publication of KR102145935B1 publication Critical patent/KR102145935B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • H04L41/0809Plug-and-play configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/30Connection release
    • H04W76/32Release of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/12Access point controller devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

일부 실시예에서, 네트워크 조절기 장치는 클라이언트 시스템들(예를 들어서, 스마트폰, 홈 어플라이언스, 웨어러블 등과 같은 사물인터넷 장치들)의 로컬 네트워크를 컴퓨터 보안 위협에 대하여 보호한다. 상기 로컬 네트워크로 도입될 때, 네트워크 조절기의 일부 실시예들은 현재 라우터로부터 네트워크 서비스들을 자동으로 인수하고 상기 로컬 네트워크에 게이트웨이로서 상기 네트워크 조절기를 설치한다. 상기 네트워크 서비스들을 인수하는 것의 응답으로, 일부 실시예들은 원격 리소스에 접근하기 위한 피보호 클라이언트 시스템에 의한 요청을, 상기 원격 리소스에 접근을 허가하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협이 되는지를 결정하도록 구성된 보안 서버로 리디렉트시킨다.

Description

네트워크 종점들을 보호하기 위한 시스템들 및 방법들{SYSTEMS AND METHODS FOR SECURING NETWORK ENDPOINTS}
본 출원은 2014년 12월 11일에 출원된 미합중국 가특허출원 번호 제62/090,547호(발명의 명칭 "네트워크 종점들을 보호하기 위한 시스템들 및 방법들(SYSTEMS AND METHODS FOR SECURING NETWORK ENDPOINTS)"), 2015년 6월 16일에 출원된 미합중국 가특허출원 번호 제62/180,390호(발명의 명칭: "자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들(Systems and Methods for Automatic Device Detection, Device Management, and Remote Assistance)"), 2015년 9월 11일에 출원된 미합중국 가특허출원 번호 제62/217,310호(발명의 명칭: "자동 네트워크 서비스 인수를 위한 시스템들 및 방법들(Systems and Methods for Automatic Network Service Takeover)")의 출원일에 대한 우선권을 주장하며 그 전체 내용은 본 명세서에서 참조로서 포함된다.
본 발명은 컴퓨터 보안 위협에 대한 네트워크 종점들을 보호하기 위한 시스템들 및 방법들에 대한 것이고, 또한 자동 장치 탐지 및 원격 장치 관리를 위한 시스템들 및 방법들에 대한 것이다.
멀웨어로도 알려진 악성 소프트웨어는 세계적으로 많은 수의 컴퓨터 시스템에 영향을 주고 있다. 멀웨어는 컴퓨터 바이러스, 익스플로이트(exploit) 및 스파이웨어와 같은 많은 형태로, 수백만의 컴퓨터 사용자에게 심각한 위협이 되고 있으며, 무엇보다도 데이터 및 민감한 정보의 손실, 신원 도용, 및 생산성 손실에 있어 이들을 취약하게 하고 있다.
비공식적으로는 사물인터넷(Internet of Things, IoT)라고 호칭되는 여러 종류의 장치들이 현재 통신 네트워크와 인터넷에 연결되어 있다. 그러한 장치들은 특히, 스마트폰, 스마트와치, TV와 다른 멀티미디어 장치, 게임 컨솔, 홈 어플라이언스, 및 온도 조절 장치와 같은 다양한 가정용 센서들을 포함한다. 그러한 장치들이 더 많이 온라인에 연결되면 될수록 이들은 보안 위협의 타겟이 된다. 따라서, 그러한 장치들과 주고받는 통신을 보호하는 것뿐만 아니라 그러한 장치들을 멀웨어로부터 보호해야 할 필요성이 증가하고 있다.
또한, 가정이나 사무실과 같은 환경에서 그러한 인텔리전트 장치(intelligent device)들이 확산되는 것은 장치와 네트워크 관리의 문제를 가중시킨다. 각 장치들이 독특한 구성 인터페이스(configuration interface)를 사용하고 별도의 연결 설정을 필요로 할 때, 많은 수의 그러한 장치들을 관리하는 것은 특히 네트워크 관리에 경험이 없는 통상적인 가정의 사용자에게는 부담이 될 수 있다. 따라서, 특히 보안에 중점을 둔 자동 장치 탐지 및 설정(configuration)을 위한 시스템들과 방법들을 개발할 필요성이 증가한다.
본 발명의 일 태양에 따르면, 네트워크 조절기는 하드웨어 프로세서와 메모리를 포함하고, 상기 하드웨어 프로세서는 라우터로부터 네트워크 서비스를 자동으로 인수하도록 구성되고, 상기 네트워크 조절기는 로컬 네트워크 상에서 상기 라우터에 연결되고, 상기 네트워크 서비스는 네트워크 주소들을 상기 로컬 네트워크에 연결된 복수의 클라이언트 시스템에 할당하는 것을 포함한다. 상기 하드웨어 프로세서는, 상기 네트워크 서비스를 인수하는 것에 응답으로, 상기 복수의 클라이언트 시스템들의 클라이언트 시스템에 의한 상기 로컬 네트워크 밖에 위치한 리소스에 접근하려는 요청을 인터셉트하도록 추가적으로 구성된다. 상기 하드웨어 프로세서는, 상기 요청을 인터셉트하는 것에 응답으로, 상기 요청의 표시자(indicator)를 분석을 위하여 원격 보안 서버에 전송하도록 추가적으로 구성되고, 상기 보안 서버는 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하도록 구성된다.
다른 태양에 따르면, 보안 서버는 적어도 하나의 하드웨어 프로세서와 메모리를 포함하고, 상기 적어도 하나의 하드웨어 프로세서는 원격 네트워크에 연결된 네트워크 조절기로부터 상기 원격 네트워크에 연결된 클라이언트 시스템에 의한 상기 원격 네트워크 밖에 위치한 리소스에 접근하려는 요청의 표시자를 수신하도록 구성된다. 상기 적어도 하나의 하드웨어 프로세서는, 상기 요청의 상기 표시자를 수신하는 것에 응답으로, 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하도록 추가적으로 구성된다. 상기 네트워크 조절기는 상기 원격 네트워크 상에서 상기 네트워크 조절기에 연결된 라우터로부터 네트워크 서비스를 자동으로 인수하도록 구성되고, 상기 네트워크 서비스는 네트워크 주소들을 상기 원격 네트워크에 연결된 복수의 클라이언트 시스템에 할당하는 것을 포함한다. 상기 네트워크 조절기는 상기 네트워크 서비스를 인수하는 것에 응답으로, 상기 요청을 인터셉트하도록 추가적으로 구성되고, 또한 상기 요청을 인터셉트하는 것에 응답으로, 상기 요청의 상기 표시자를 상기 보안 서버에 전송하도록 추가적으로 구성된다.
또 다른 태양에 따르면, 비-일시적 컴퓨터 판독가능 매체(non-transitory computer readable medium)는, 네트워크 조절기의 적어도 하나의 하드웨어 프로세서에 의하여 실행될 때 상기 네트워크 조절기로 하여금 라우터로부터 네트워크 서비스를 자동으로 인수하도록 하는 명령들을 저장하고, 상기 네트워크 조절기는 로컬 네트워크 상에서 상기 라우터에 연결되고, 상기 네트워크 서비스는 상기 로컬 네트워크에 연결된 복수의 클라이언트 시스템들에 네트워크 주소들을 할당하는 것을 포함한다. 상기 명령들은, 상기 네트워크 조절기로 하여금, 상기 네트워크 서비스를 인수하는 것에 응답으로, 상기 로컬 네트워크 밖에 위치된 리소스에 접근하려는 상기 복수의 클라이언트 시스템들의 클라이언트 시스템에 의한 요청을 인터셉트하도록 추가적으로 야기한다. 상기 명령들은 상기 네트워크 조절기로 하여금, 상기 요청을 인터셉트하는 것에 응답으로, 분석을 위하여 원격 보안 서버로 상기 요청의 표시자를 전송하도록 추가적으로 야기하고, 상기 보안 서버는 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하도록 구성된다.
본 발명의 전술한 태양들 및 장점들은 후술하는 상세한 설명 및 도면을 참조로 이해하면 더욱 잘 이해될 것이다.
도 1a는 본 발명의 일부 실시예들에 따라서, 로컬 네트워크에 의하여 상호 연결되는 클라이언트 시스템들과, 컴퓨터 보안 위협들에 대하여 상기 클라이언트 시스템들을 보호하는 네트워크 조절기의 예시적 구성을 보여준다.
도 1b는 본 발명의 일부 실시예들에 따라서, 클라이언트 시스템들과 네트워크 조절기의 선택적 구성을 보여준다.
도 2는 본 발명의 일부 실시예들에 따라서, 상기 네트워크 조절기와 협동하는 원격 서버의 세트를 보여준다.
도 3은 본 발명의 일부 실시예들에 따라서, 클라이언트 시스템의 예시적 하드웨어 구성을 보여준다.
도 4는 본 발명의 일부 실시예들에 따라서, 네트워크 조절기의 예시적 하드웨어 구성을 보여준다.
도 5는 본 발명의 일부 실시예들에 따라서, 관리 장치의 예시적 하드웨어 구성을 보여준다.
도 6은 본 발명의 일부 실시예들에 따라서, 피보호 클라이언트 시스템에서 실행되는 예시적 소프트웨어 요소들의 세트를 보여준다.
도 7은 본 발명의 일부 실시예들에 따라서, 상기 네트워크 조절기에서 실행되는 소프트웨어 요소들의 예시적 세트를 보여준다.
도 8은 본 발명의 일부 실시예들에 따라서, 상기 라우터에서 실행되는 예시적 소프트웨어를 보여준다.
도 9는 본 발명의 일부 실시예들에 따라서, 상기 관리 장치에서 실행되는 예시적 소프트웨어를 보여준다.
도 10은 본 발명의 일부 실시예들에 따라서, 상기 네트워크 조절기에 의하여 실행되는 단계들의 예시적 시퀀스를 보여준다.
도 11은 본 발명의 일부 실시예들에 따라서, 네트워크 서비스 인수 절차 중에 수행되는, 상기 라우터, 상기 네트워크 조절기, 및 상기 설정 서버(configuration server) 사이의 예시적 데이터 교환을 보여준다.
도 12는 본 발명의 일부 실시예들에 따라서, 네트워크 서비스 인수 절차 중에 상기 네트워크 조절기에 의하여 수행되는 단계들의 예시적 시퀀스를 보여준다.
도 13은 본 발명의 일부 실시예들에 따라서, 네트워크 서비스 인수 중에 수행되는 선택적 데이터 교환을 보여준다.
도 14는 본 발명의 일부 실시예들에 따라서, 네트워크 서비스 인수를 수행하는 상기 설정 서버와 협동하는 상기 네트워크 조절기에 의하여 수행되는 단계들의 예시적 시퀀스를 보여준다.
도 15는 본 발명의 일부 실시예들에 따라서, 네트워크 서비스 인수 절차의 다른 예 중에 수행되는, 상기 라우터, 상기 네트워크 조절기, 및 클라이언트 시스템 사이의 데이터 교환을 보여준다.
도 16은 본 발명의 일부 실시예들에 따라서, 네트워크 서비스 인수 절차 중에 상기 네트워크 조절기에 의하여 수행되는 단계들의 다른 예시적 시퀀스를 보여준다.
도 17은 장치 특정 에이전트 설치(device-specific agent installation)의 일부로서 클라이언트 시스템, 상기 네트워크 조절기 및 상기 설정 서버 사이의 예시적인 데이터 교환을 보여준다.
도 18은 본 발명의 일부 실시예들에 따라서, 에이전트 설치 절차 중에 상기 네트워크 조절기에 의하여 수행되는 단계들의 예시적인 시퀀스를 보여준다.
도 19a는 본 발명의 일부 실시예들에 따라서, 상기 보안 서버에서 네트워크 트래픽(network traffic)의 일부가 스캔되는 본 발명의 실시예를 보여준다.
도 19b는 본 발명의 일부 실시예들에 따라서, 상기 네트워크 조절기에 의하여 네트워크 트래픽의 일부가 스캔되는 본 발명의 실시예를 보여준다.
도 20은 본 발명의 일부 실시예들에 따라서, 가상 사설 네트워크(virtual private network, VPN), 유틸리티 에이전트(utility agent) 및 피보호 클라이언트 시스템을 위한 보안 연결을 설정하는 것의 일부로서, 클라이언트 시스템, 상기 네트워크 조절기 및 상기 설정 서버 사이의 예시적 데이터 교환을 보여준다.
도 21은 본 발명의 일부 실시예들에 따라서, VPN 에이전트를 작동하기 위하여 상기 클라이언트 시스템에 의하여 수행되는 단계들의 예시적 시퀀스를 보여준다.
이하의 설명에서, 구조들 사이에서 언급된 모든 연결들은 직접적인 동작 연결들 또는 매개 구조들을 통한 간접적인 동작 연결들일 수 있는 것으로 이해된다. 구성 요소들의 세트는 하나 이상의 구성 요소를 포함한다. 구성 요소의 임의의 열거는 적어도 하나의 구성 요소를 언급하는 것으로 이해된다. 복수의 구성 요소는 적어도 2개의 구성 요소를 포함한다. 달리 요구되지 않는다면, 기술된 어떠한 방법 단계들도 설명된 특정 순서로 반드시 실행될 필요는 없다. 제2 구성 요소로부터 유도되는 제1 구성 요소(예컨대, 데이터)는 제2 구성 요소와 동일한 제1 구성 요소는 물론, 제2 구성 요소 그리고 선택적으로는 다른 데이터를 처리하는 것에 의해 생성된 제1 구성 요소를 포함한다. 파라미터에 따라 결정 또는 판정하는 것은 파라미터에 따라 그리고 선택적으로는 다른 데이터에 따라 결정 또는 판정하는 것을 포함한다. 달리 구체화되지 않는다면, 일부 수량/데이터의 표시자는 수량/데이터 그 자체, 또는 수량/데이터 그 자체와 상이한 표시자일 수 있다. 컴퓨터 보안은, 데이터 및/또는 하드웨어에 대한 의도하지 않았거나 또는 인가받지 않은 접근에 대하여, 데이터 및/또는 하드웨어의 의도하지 않았거나 또는 인가받지 않은 수정에 대하여, 그리고 데이터 및/또는 하드웨어의 파괴에 대하여 사용자와 장비를 보호하는 것을 망라한다. 컴퓨터 프로그램은 과업을 수행하는 프로세서 명령들의 시퀀스이다. 본 발명의 일부 실시예들에서 설명되는 컴퓨터 프로그램들은 독립형 소프트웨어 개체들 또는 다른 컴퓨터 프로그램들의 서브-개체들(예를 들어, 서브루틴들, 라이브러리들)일 수 있다. 두 장치들은, 이들의 네트워크 주소들이 동일한 서브네트(subnet)에 속할 때, 그리고/또는 이 둘이 동일한 방송 주소(broadcast address)를 가질 때, 동일한 로컬 네트워크에 연결되거나 또는 속한다고 얘기한다. 터널(tunnel)은 통신 네트워크에 연결된 두 개체(entity) 사이의 가상의 점대점 연결이다. 컴퓨터 판독 가능 매체는 자성, 광, 및 반도체 저장 매체(예컨대, 하드 드라이브, 광디스크, 플래시 메모리, DRAM)와 같은 비-일시적 매체(non-transitory media)를 포함한다. 일부 실시예들에 따르면, 본 발명은, 그 중에서도, 본원에 설명된 방법들을 수행하기 위해 프로그래밍된 하드웨어(예컨대, 하나 이상의 마이크로 프로세서들)는 물론, 본원에서 설명된 방법들을 수행하기 위한 명령들을 엔코딩하는 컴퓨터-판독 가능 매체를 포함하는 컴퓨터 시스템을 제공한다.
후술하는 설명은 본 발명의 실시예들을 예시적으로 설명하는 것이며, 반드시 제한적인 것은 아니다.
도 1a, 도 1b는, 복수의 클라이언트 시스템(12a-f)들이 로컬 네트워크(14)에 의해서 상호 연결되고 인터넷과 같은 확장된 네트워크(extended network, 16)에 추가로 연결되는, 본 발명의 일부 실시예에 따른 예시적 네트워크 구성(10a-b)를 보여준다. 클라이언트 시스템(12a-f)들은 프로세서, 메모리 및 통신 인터페이스를 구비한 임의의 전자 장치를 나타낼 수 있다. 예시적 클라이언트 시스템(12a-f)들은 특히 개인용 컴퓨터, 랩탑, 태블릿 컴퓨터, 모바일 전기통신 장치(예를 들어서, 스마트폰), 미디어 플레이어, TV, 게임 콘솔, 홈 어플라이언스(예를 들어서, 냉장고, 온도조절장치, 지능형 열 및/또는 조명 시스템), 및 웨어러블 장치(예를 들어서, 스마트워치, 스포츠 및 피트니스 장비)를 포함한다. 로컬 네트워크(14)는 근거리 통신망(local area network, LAN)을 포함할 수 있다. 예시적 로컬 네트워크(14)들은 특히 홈 네트워크와 기업 네트워크를 포함할 수 있다.
라우터(19)는 클라이언트 시스템(12a-f)들 사이의 통신 및/또는 클라이언트 시스템(12a-f)들이 확장된 네트워크(16)에 접속하는 것을 가능하게 하는 전자 장치를 포함한다. 일부 실시예에서, 라우터(19)는 로컬 네트워크(14)와 확장된 네트워크(16) 사이의 게이트웨이로서 역할을 하고, 또한 클라이언트 시스템(12a-f)들에게 네트워크 서비스들의 세트를 제공한다. 달리 특정되지 않는다면, 네트워크 서비스이라는 용어는 본 명세서에서 클라이언트 시스템(12a-f)들과 다른 개체들 사이의 통신뿐만 아니라, 클라이언트 시스템(12a-f)들의 내부 통신(inter-communication)을 가능하게 하는 서비스를 가리키기 위하여 사용된다. 이와 같은 서비스들은 예를 들어서, 네트워크 설정 파라미터들(예를 들어서, 네트워크 주소들)을 클라이언트 시스템(12a-f)들에 분산하는 것과, 또한 참가하는 종점(participating endpoint)들 사이의 통신을 라우팅(routing)하는 것을 포함한다. 예시적인 네트워크 서비스들은 동적 호스트 설정 규약(dynamic host configuration protocol, DHCP)을 실행한다.
도 1a, 도 1b는 로컬 네트워크(14)에 연결된 네트워크 조절기(18)를 추가적으로 보여준다. 일부 실시예에서, 네트워크 조절기(18)는 클라이언트 시스템(12a-f)들을 위한 여러 서비스들을 수행하도록 구성된 네트워크 어플라이언스를 포함한다. 그러한 서비스들은, 특히, 컴퓨터 보안 서비스(예를 들어, 안티 멀웨어, 침입 탐지, 안티-스파이웨어 등), 장치 관리(예를 들어서, 클라이언트 시스템(12a-f)들의 원격 설정), 부모 통제 서비스(parental control service), 보안 통신 서비스(예를 들어서, 가상 사설 네트워킹, VPN) 및 원격 기술 지원(예를 들어서, 장치 및/또는 네트워크 문제 해결)을 포함한다.
본 발명의 일부 실시예에 따른 통상의 적용예에서는, 네트워크 조절기(18)는 라우터(19)에 의하여 기존에 설정되고 관리되는 로컬 네트워크로 도입된다. 일부 실시예에서, 설치 시에, 조절기(18)는 라우터(19)로부터 DHCP와 같은 네트워크 서비스들을 인수하고 로컬 네트워크(14)와 확장된 네트워크(16) 사이의 게이트웨이 위치에 스스로 설치하고, 따라서 적어도 클라이언트 시스템(12a-f)들과 확장된 네트워크(16) 사이의 트래픽의 일부가 네트워크 조절기(18)를 가로지른다(도 1a 참조). 네트워크 조절기(18)를 게이트웨이 위치에 위치하는 것이 바람직할 수 있는데, 그 이유는 일부 실시예에서, 조절기(18)가 클라이언트 시스템(12a-f)들로부터 보안 서버로 트래픽(예를 들어서, HTTP 요청들)의 적어도 일부를 방향 변경(redirecting)함으로써 컴퓨터 보안 서비스를 제공하기 때문이다. 조절기(18)를 게이트웨이 위치에 가지는 것은 그러한 트래픽의 가로챔(interception)을 용이하게 할 수 있다.
도 1b의 예에서와 같은 일부 실시예에서, 라우터(19)는 조절기(18)의 설치 후에 로컬 네트워크(14)를 위한 게이트웨이로서 계속 작동할 수 있으나, 그러한 경우들에서 네트워크 조절기(18)는 바람직하게는 클라이언트 시스템(12a-f)들과 기존 게이트웨이(즉, 라우터 (19)) 사이에 위치돼서는, 조절기(18)가 클라이언트 시스템(12a-f)들과 같은 로컬 네트워크에 속하게 된다. 그러한 위치가 바람직한데, 그 이유는 일부 실시예에서, 네트워크 조절기(18)는 개별 클라이언트 시스템(예를 들어서, 스마트폰 vs. PC)의 유형을 탐지하기 위하여 그리고, 응답으로, 장치 특정 유틸리티 에이전트를 클라이언트 시스템(12a-f)들의 일부에 전달하기 위하여 원격 서버와 협동하도록 구성되기 때문이다. 조절기(18)가 로컬 네트워크(14)의 구성요소가 아닌 설정(예를 들어서, 조절기(18)를 라우터(19)와 확장된 네트워크(16) 사이에 위치하는 것)은 그러한 장치 발견과 에이전트 전달을 보다 어렵게 만들 수 있다.
일부 실시예에서, 클라이언트 시스템(12a-f)들은 확장된 네트워크(16)(예를 들어서, 인터넷)에 연결된 관리 장치(20)에서 실행되는 소프트웨어를 이용하여 사용자/관리자에 의하여 원격으로 모니터링/관리 및/또는 설정된다. 예시적인 관리 장치(20)들은 특히 스마트폰과 개인용 컴퓨터 시스템들을 포함한다. 장치(20)는 사용자로 하여금 클라이언트 시스템(12a-f)들의 작동을 원격으로 설정 및/또는 관리할 수 있게 하는, 예를 들어서, 설정 옵션들을 세팅하거나 그리고/또는 개별 클라이언트 시스템들에서 발생하는 이벤트들에 대한 통지를 받도록 하는 그래픽 유저 인터페이스(GUI)를 노출할 수 있다.
일부 실시예에서, 네트워크 조절기(18)는 클라이언트 시스템(12a-f)들을 위한 여러 서비스들을 수행하기 위하여 원격 컴퓨터 시스템들의 세트와 협동할 수 있다. 예시적 원격 컴퓨터 시스템들은 도 2에 도시된 바와 같이 보안 서버(50)와 설정 서버(configuration server)(52)를 포함한다. 서버(50, 52)들은 복수의 상호 연결된 컴퓨터 시스템들의 클러스터들 또는 개별 머신들을 포함할 수 있다. 일부 실시예에서, 네트워크 조절기(18)는 클라이언트 시스템(12a-f)들로 오는 또는 클라이언트 시스템(12a-f)들로부터 보안 서버(50)로 오는 트래픽의 일부 또는 모두를 리디렉팅한다. 서버(50)는 그러고 나서 컴퓨터 보안 위협들에 대하여 클라이언트 시스템(12a-f)들을 보호하기 위하여, 위협 탐지 작업들(예를 들어서, 멀웨어 탐지, 악성 또는 사기성 웹사이트로의 접속 차단, 침입 방지 등)을 수행할 수 있다. 보안 서버(50)는 복수의 보안 레코드들을 포함하는 이벤트 데이터베이스(55)에 추가로 연결될 수 있는데, 개별 보안 레코드는 보안 이벤트를 나타내는 데이터뿐만 아니라, 개별 이벤트와 피보호 클라이언트 시스템 사이의 관계(association)를 나타내는 표시자를 포함한다.
보안 서버(50)를 통해서 피보호 클라이언트 시스템으로의 및/또는 이로부터의 트래픽을 라우팅하는 하나의 장점은 이것이 개별 클라이언트 시스템으로 하여금 로컬 네트워크(14)를 떠날 수 있게 하면서 한편으로는 여전히 보호의 혜택을 누릴 수 있게 한다는 점이다. 그러한 구성은 이하에서 매우 상세하게 설명된다.
일부 실시예에서, 설정 서버(52)는 피보호 클라이언트 시스템(12)의, 그리고/또는, 라우터(19), 조절기(18)의 보안 설정 및/또는 장치 관리를 설정하기 위하여 관리 장치(20)와 협동한다. 서버(52)는 가입자 데이터베이스(subscriber database)(54)와 장치 특징 데이터베이스(device feature database)(56)에 통신가능하게 연결될 수 있다. 가입자 데이터베이스(54)는 복수의 가입 레코드들을 저장할 수 있고, 각 가입 레코드는 본 발명의 일부 실시예에 따른 장치 관리 하의 클라이언트 시스템들의 세트를 나타낸다. 일 실시예에서, 각 가입 레코드는 개별 네트워크 조절기(18)과 특징적으로 연관된다. 그러한 실시예에서, 개별 네트워크 조절기를 사용하여 설정되거나 그리고/또는 그렇지 않으면 서비스되는 모든 클라이언트 시스템(12)(예를 들어서 도 1a에서 로컬 네트워크(14)에 연결된 클라이언트 시스템(12a-f)들)은 동일한 가입 레코드에 연관된다. 각 가입 레코드는 가입 기간의 표시자 및/또는, 예를 들어서 원하는 보안 레벨이나 가입 목적인 서비스들의 선택을 기술하는 가입 파라미터들의 세트를 포함할 수 있다. 가입은 서비스-레벨-협약(SLA, service-level agreement)에 따라서 관리될 수 있다.
일부 실시예들에서, 장치 특징 데이터베이스(56)는 개별 클라이언트 시스템(12)의 설정가능한 특징(configurable feature)들 및/또는 개별 클라이언트 시스템을 위한 현재의 설정 세팅(configuration setting)을 나타내는 레코드들의 세트를 포함한다. 데이터베이스(56)는 클라이언트 시스템(12)의 장치 유형을 결정하는 데 사용될 수 있는 레코드들의 포괄적 세트를 추가적으로 포함할 수 있다. 그러한 레코드들은, 다양한 운영 시스템들(예를 들어서, Windows® vs. Linux®)을 사용하여 다양한 제조자들로부터의 여러 장치 유형(예를 들어서, 라우터들, 스마트폰들, 웨어러블 장치들 등)들, 메이크(make)들 및 모델들에 대응하는 엔트리들을 포함할 수 있다. 예시적 엔트리는 특히 개별 장치 유형이 통신하기 위하여 특정 네트워크 프로토콜(예를 들어서, HTTP, Bonjour®)를 사용하는지를 나타내는 표시자, 개별 장치 유형에 의하여 노출되는 로그인 인터페이스의 레이아웃의 표시자 등을 포함할 수 있다.
도 3 내지 도 5는 각각 클라이언트 시스템(12), 네트워크 조절기(18) 및 관리 장치(20)의 예시적 하드웨어 구성을 보여준다. 일반성을 잃지 않는다면, 도시된 구성은 컴퓨터 시스템(도 3, 도 4)과 스마트폰(도 5)에 대응한다. 다른 시스템들(예를 들어서, 태블릿 컴퓨터들)의 하드웨어 구성은 도 3 내지 5에 도시된 것과 다를 수 있다. 프로세서(22, 122, 222)들 각각은 신호 및/또는 데이터의 세트와 함께 연산 및/또는 논리 작업을 수행하도록 구성된 물리적 장치(예를 들어서, 마이크로 프로세서, 반도체 기판에 형성된 멀티 코어 집적 회로)를 포함한다. 메모리 유닛(24, 124, 224)들은 작업을 수행하는 중에, 프로세서(22, 122, 222)들에 의하여 각각 접속되거나 또는 생성되는 데이터/신호들을 저장하는 휘발성 컴퓨터 판독가능한 매체(예를 들어서, RAM)을 포함한다.
입력 장치(26, 226)들은 사용자가 상기 개별 시스템으로 데이터 및/또는 명령들을 도입할 수 있게 하는 개별 하드웨어 인터페이스 및/또는 어댑터를 포함하는, 특히 컴퓨터 키보드, 마우스, 및 마이크를 포함할 수 있다. 출력 장치(28, 228)들은 특히 모니터와 같은 디스플레이 장치 및 스피커는 물론, 개별 시스템이 사용자에게 데이터를 통신하게 할 수 있는 그래픽 카드와 같은 하드웨어 인터페이스/어댑터를 포함할 수 있다. 일부 실시예들에서, 입력 장치와 출력 장치는 하드웨어의 공통적인 부품(예를 들어, 터치-스크린)을 공유할 수 있다. 저장 장치(32, 132, 232)는 소프트웨어 명령들 및/또는 데이터의 비휘발성 저장, 판독, 및 기록을 가능하게 하는 컴퓨터-판독 가능 매체를 포함한다. 예시적인 저장 장치는 자기 디스크 및 광디스크 및 플래시 메모리 장치들은 물론, CD 및/또는 DVD 디스크들 및 드라이브들과 같은 소거 가능 매체를 포함한다.
네트워크 어댑터(34, 134)들은 클라이언트 시스템(12)과 네트워크 조절기(18)가 각각, 로컬 네트워크(14)와 같은 전자 통신 네트워크에, 그리고/또는 다른 장치들/컴퓨터 시스템들에 연결되도록 한다. 통신 장치(40)들(도 5)은 관리 장치(20)들이 확장된 네트워크(16)(예를 들어서, 인터넷)에 연결되도록 하고, 전기통신 하드웨어(전자기파 발신기/수신기, 안테나 등)를 포함할 수 있다. 장치 유형 및 설정에 따라서, 관리 장치(20)는 지오로케이션 장치(geolocation device, 42)(예를 들어서, GPS 수신기)와 측정 장치들 세트(136)(예를 들어서, 동작 센서, 광 센서 등)를 추가적으로 포함할 수 있다.
컨트롤러 허브(30, 130, 230)들은 개별 시스템 각각의 프로세서와 하드웨어 구성요소의 나머지 사이의 통신을 가능하게 하는 복수의 시스템, 주변, 및/또는 칩셋 버스들, 및/또는 다른 모든 회로망을 나타낸다. 예시적 클라이언트 시스템(12)(도 3)에서, 허브(30)는 메모리 컨트롤러(memory controller), 입력/출력(I/O) 컨트롤러, 및 인터럽트 컨트롤러(interrupt controller)를 포함할 수 있다. 하드웨어 제조사에 따라서, 그러한 컨트롤러 일부는 하나의 집적 회로로 통합될 수 있고, 그리고/또는 상기 프로세서와 통합될 수 있다.
도 6은 본 발명의 일부 실시예에 따른 클라이언트 시스템(12)에서 실행되는 예시적인 소프트웨어 요소를 보여준다. 그러한 소프트웨어는 상기 개별 클라이언트 시스템 상에서 실행되는 소프트웨어 어플리케이션들의 세트와 클라이언트 시스템(12)의 상기 하드웨어 사이의 인터페이스를 제공하는 운영 시스템(OS)(40)을 포함할 수 있다. 소프트웨어 어플리케이션들은 보안 서비스, 장치 관리 서비스, 부모 통제 서비스, 보안 통신 서비스(예를 들어서, 가상 사설 네트워킹, VPN) 등과 같은 여러 서비스들을 개별 클라이언트 시스템으로 제공하도록 구성된 유틸리티 에이전트(41)를 포함한다. 일부 실시예에서, 유틸리티 에이전트(41)는 클라이언트 시스템(12)의 설정 옵션들의 세트에 접근 및/또는 수정하도록 구성된다(예를 들어서, 네트워크 설정 파라미터, 전원 관리 파라미터, 보안 파라미터, 원격 제어되는 온도조절기의 경우에 원하는 온도나 원격 제어되는 가정 조명 관리자의 경우에 조명의 선택과 같은 장치 특정 파라미터 등). 일부 실시예에서, 클라이언트 시스템(12)에 에이전트(41)를 설치하는 것은 이하에서 보다 자세히 보여지는 바와 같이 네트워크 조절기(18)에 의하여 개시되고 그리고/또는 촉진된다.
도 7은 본 발명의 일부 실시예에 따른 네트워크 조절기(18)에서 실행되는 소프트웨어 요소의 세트를 보여준다. 그러한 요소들은 특히, 장치 탐지 모듈(42) 및 DHCP 모듈(43)을 포함할 수 있다. 일부 실시예에서, 모듈(43)은 로컬 네트워크(14)를 위한 DHCP 서비스를 제공한다. 그러한 서비스들은 확장된 네트워크(16) 및/또는 로컬 네트워크(14)로의 접속을 요청하는 클라이언트들에게 인터넷 프로토콜(IP) 설정 정보를 전달하는 것을 포함할 수 있다. 장치 탐지 모듈(42)은 이하에서 보여지는 바와 같이 클라이언트 시스템(12)의 장치 유형을 탐지하기 위하여 원격 설정 서버와 협동하도록 구성될 수 있다. 일부 실시예에서, 조절기(18)는 이하에서 상세히 보여지는 바와 같이 네트워크 서비스 인수를 수행하도록 구성된 네트워크 중단 모듈(network disruption module)(44)을 추가적으로 실행한다.
도 8은 본 발명의 일부 실시예에 따라서 라우터(19)에서 실행되는 소프트웨어 요소의 예시적 세트를 보여준다. 그러한 소프트웨어 요소들은 운영 시스템(140)과, DHCP 서버(45)를 포함하는 어플리케이션 세트를 포함할 수 있다. 서버(45)는 로컬 네트워크(14)를 설정하기 위하여 클라이언트 시스템(12a-f)으로 네트워크 설정 파라미터들(예를 들어서, IP 주소들)을 분산하는 데 사용될 수 있다.
도 9는 본 발명의 일부 실시예에 따라서 관리 장치(20)(예를 들어서, 스마트폰)에서 실행되는 소프트웨어 요소의 예시적 세트를 보여준다. 그러한 소프트웨어 요소들은 운영 시스템(240)과 어플리케이션들의 세트를 포함할 수 있다. 어플리케이션들은 사용자들이 원격으로 클라이언트 시스템(12a-f)들을 설정할 수 있도록 구성된 관리 어플리케이션(46)을 포함한다. 시스템(12a-f)들을 설정하는 것은 특히, 클라이언트 특정 보안 세팅을 설정하는 것, 클라이언트 특정 네트워크 접속 파라미터(예를 들어서, 연결 속도 등)를 설정하는 것, 및 메인티넌스 과업(maintenance task)(예를 들어서, 소프트웨어 업그레이드, 디스크 정리 작업 등)을 개시하는 것을 포함할 수 있다. 관리 어플리케이션(46)은 관리 장치(20)의 사용자에게 관리 GUI(administration graphical user interface)(48)를 노출할 수 있다.
도 10은 본 발명의 일부 실시예에 따른 네트워크 조절기(18)에 의해서 실행되는 단계들의 시퀀스를 보여준다. 그러한 시퀀스는 예를 들어서 네트워크 조절기(18)가 설치되면, 또는 조절기(18)가 먼저 로컬 네트워크(14)로 도입될 때 실행될 수 있다. 단계(300)에서, 조절기(18)는 자동으로, 여기서 네트워크 서비스들의 기존 제공자를 나타내는 라우터(19)를 탐지한다. 일부 실시예에서, 조절기(18)는 그러고 나서 라우터(19)로부터 상기 네트워크 서비스들의 일부를 인수한다. 그러한 인수는 차단(shutting off)이나 그렇지 않으면 라우터(19)의 기능성을 일부 불능화하는 것과, 로컬 네트워크(14)와 연계된 상기 네트워크 서비스들의 최소한 일부의 제공자로서 라우터(19)를 교체하는 것을 포함할 수 있다. 선택적 실시예에서, 서비스 인수는 라우터(19)에 의해서 관리되는 것들에 추가하여 이들을 실질적으로 불능화하지 않고서 네트워크 서비스의 선택적 세트를 제공하는 것을 포함할 수 있다. 일부 실시예에서, 단계(302)는 로컬 네트워크(14)와 확장된 네트워크(16) 사이의 게이트웨이 위치에 네트워크 조절기(18)를 설치하는 것을 추가적으로 포함해서, 클라이언트 시스템(12a-f)들과 확장된 네트워크(16) 사이의 네트워크 트래픽의 최소한 일부가 조절기(18)를 가로지르게 된다.
단계들(304 내지 306)의 시퀀스에서, 네트워크 조절기(18)는 로컬 네트워크(14)에 속하는 장치들(즉, 클라이언트 시스템(12a-f)들)을 자동으로 탐지할 수 있고, 클라이언트 시스템(12a-f)들의 적어도 일부에 장치 특정 유틸리티 에이전트(41)들을 분산할 수 있다. 추가적 단계(308)는 클라이언트 시스템(12a-f)들을 위하여 컴퓨터 보안 서비스들의 세트를 수행한다. 단계(300 내지 308)들은 이하에서 보다 상세히 기술된다.
네트워크 서비스 인수(Network Service Takeover)
본 발명의 일부 실시예에서, 라우터(19)의 DHCP 서비스들은 중단(turn-off)될 수 있고 아니면 네트워크 조절기(18)에 의하여 불능화될 수 있다. 이러한 효과는 여러 방법들을 통하여 얻어질 수 있는데, 이들 중 일부가 이하에서 예로서 설명된다. DHCP 서비스들은 본 명세서에서 단순한 예로서 사용된다. 이하에서 설명되는 시스템들과 방법들은 다른 네트워크 서비스들을 인수하는데 적용될 수 있다.
DHCP 부족(DHCP starvation)으로 알려진 하나의 예시적 시나리오에서, 네트워크 조절기(18)는, 복수의 가짜 장치들을 사칭(impersonation)하고 라우터(19)로부터 각각의 가짜 장치들을 위한 네트워크 주소들을 요청하기 위하여 네트워크 중단 모듈(44)을 사용할 수 있다. 그러한 가짜 장치들의 수(count)는 라우터(19)의 DHCP 서버(45)에 의하여 대여용으로 제공되는 IP 주소들의 가용한 풀을 완전히 채우도록 선택될 수 있다. 이와 같은 방식에서, 서버(45)가 계속 작동함에도, 서버(45)는 로컬 네트워크(14)의 클라이언트 시스템에 IP 주소를 더 이상 제공할 수 없다. 일부 실시예에서, 네트워크 조절기(18)는 그러고 나서 자신의 고유한 DHCP 대여 제공(DHCP lease offer)을 알리기 위하여 DHCP 모듈(43)을 사용할 수 있고, 클라이언트 시스템(12a-f)들과 확장된 네트워크(16)들 사이의 트래픽의 적어도 일부를 위한 디폴트 DHCP 서버와 게이트웨이 장치로서 효과적으로 클라이언트 시스템(12a-f)들로 하여금 조절기(18)를 사용하도록 강제한다.
DHCP 서버 인수의 방법들의 다른 예시적 세트는, 예를 들어서, 그 네트워크 및/또는 다른 성능 파라미터(functional parameter)들을 자동으로 재설정함으로써, 기존 DHCP 서비스 제공자(예를 들어서, 라우터(19))를 자동으로 탐지하는 것과 개별 장치를 불능화하는 것을 포함한다. 그와 같은 하나의 시나리오는 도 11, 도 12에 도시된 방법으로 설정 서버(52)와 협동하는 네트워크 조절기(18)에 관련된다.
일부 실시예에서, 단계(320)는 라우터(19)를 재설정하기 위하여 사용자로부터 허가를 요청하고 그러고 나서 이를 수신한다. 개별 사용자는, 예를 들어서, 설정 서버(52)(도 2 참조)에 의해서 관리유지되는 가입자 데이터베이스(54)에서 나열된 바와 같은, 로컬 네트워크(14) 및/또는 조절기(18)의 관리자 또는 소유자일 수 있다. 허가를 받는 것은 예를 들어서, 조절기(18) 또는 설정 서버(52)에 의하여 수행될 수 있는 관리 장치(20)로의 통지 전송을 포함할 수 있다. 장치(20)의 관리 GUI(48)는 그러고 나서 사용자로 하여금 사용자가 라우터(19)의 파라미터를 재설정하는 것을 허용할지 여부를 표시할 수 있게 하는 입력 필드를 노출할 수 있다. 단계(320)는 관리 장치(20)를 통하여 사용자로부터 직접적으로, 또는 데이터베이스(54)에 저장된 가입 레코드로부터 직접, 라우터(19)를 위한 로그인 크리덴셜(예를 들어서, 사용자이름, 패스워드 등)을 얻는 것을 추가적으로 포함할 수 있다.
단계(322)에서, 네트워크 조절기(18)는 예를 들어서 DHCP 요청/응답 교환 중에 라우터(19)로부터 수신된 데이터를 분석하여 라우터(19)에 대한 장치 유형 표시 정보를 수집한다. 그러한 데이터는, 특히, 라우터(19)의 매체 접근 제어 주소(media access control address, MAC address)와 인증 헤더(authentication header)를 포함할 수 있다. 일부 실시예에서, 네트워크 조절기(18)는 라우터(19)의 로그인 인터페이스를 노출하도록 추가적으로 시도할 수 있고, 개별 인터페이스로부터 장치 유형 표시 데이터(device-type-indicative data)를 추가적으로 추출할 수 있다(예를 들어서, 인터페이스가 HTML 문서인지 여부 결정, 그리고, 개별 인터페이스의 네트워크 주소를 결정). 조절기(18)의 일부 실시예들은 심지어, 예를 들어서 이미지 처리 알고리즘을 이용하여 개별 인터페이스의 특정 시각적 특징을 추출할 수도 있다.
장치 유형 표시 데이터(61)는 그러고 나서 설정 서버(52)로 보내지는데(단계 324), 이것은 그러한 데이터에 따라서 그리고/또는 장치 특징 데이터베이스(56)(도 2)에 저장된 데이터에 따라서 라우터(19)의 장치 유형(예를 들어서, 제조사, 모델, 패밀리, 서브패밀리, 펌웨어, 버전 등)을 식별할 수 있다. 설정 서버(52)는 그러고 나서 조절기(18)로부터 수신된 장치 유형 표시 데이터에 따라서 라우터(19)의 특정 장치 유형에 맞춰진 로그인 트라이얼(login trial)(60)을 설정할 수 있고, 그리고 조절기(18)로 로그인 트라이얼 데이터를 전송할 수 있다.
일부 실시예에서, 네트워크 조절기(18)는 라우터(19)로 로그인하려는 반복적인 트라이얼 앤드 에러 시도로 단계(326-334)들의 루프를 반복할 수 있다. 단계(328-330)들은 라우터(19)의 로그인 인터페이스를 노출할 수 있고 로그인 트라이얼 데이터(60) 및/또는 사용자 크리덴셜을 라우터(19)에 전송할 수 있다. 로그인이 성공적이었는지 여부의 표시자는 서버(52)로 다시 보내진다(단계 332); 성공 표시자는 라우터(19)의 장치 유형을 추가적으로 식별하기 위하여 사용될 수 있다.
일단 성공적으로 로그인이 된 이후, 단계(336)에서, 네트워크 조절기(18)는 설정 서버(52)로부터 라우터 설정 커맨드(63)(router configuration command)들, 라우터의 식별된 유형에 따라서 특정적으로 만들어지고 불능화된 라우터(19)나 라우터(19)에 의하여 제안된 적어도 일부 네트워크 서비스들을 목적으로 하는 커맨드(63)들의 세트를 확보할 수 있다. 예시적 라우터 설정 커맨드(63)들은 특히, 라우터(19)로 하여금 차단(shut down), 재시작, 설정 인터페이스 노출, 설정 세팅 변경을 명령할 수 있다. 다른 예시적 설정 커맨드(63)는 라우터(19)의 설정 인터페이스를 노출하도록 구성된 HTTP 요청을 포함한다. 일부 실시예에서, 커맨드(63)들은 노출된 인터페이스의 필드들의 세트를 자동으로 채울 수 있다. 일부 실시예에서, 커맨드(63)들은 라우터(19)의 설정 인터페이스의 필드들의 세트를 채우기 위한 파라미터 값들의 세트를 포함한다.
단계(338)에서, 네트워크 조절기(18)는 설정 커맨드(63)들을 라우터(19)로 전송할 수 있다. 라우터(19)로부터 DHCP 서비스들의 인수를 완료하기 위하여, 조절기(18)는 그 자신의 DHCP 대여 제안(DHCP lease offer)을 클라이언트 시스템(12a-f)들에 알리기 위하여 DHCP 모듈(43)(도 7)을 채용할 수 있다.
일부 실시예에서, 네트워크 조절기(18)는 조절기(18)의 소유자/관리자가 조절기(18)를 언인스톨(uninstall)하기로 결정한 경우에 라우터(19)로 커맨드들의 다른 세트를 전송할 수 있다. 그러한 일례에서, 조절기(18)는 네트워크 조절기(18)의 설치 전에 유효했던 세팅들로 라우터(19)로 하여금 회귀하도록 명령할 수 있다.
도 13 내지 도 14는 본 발명의 일부 실시예들에 따른 네트워크 조절기(18)에 의한 네트워크 서비스 인수의 선택적 방법을 도해한다. 도해된 방법은 도 11 내지 도 12와 관련하여 상술한 방법에 대한 변화를 포함하고 있다. 적극적으로 네트워크 세팅들을 재설정하거나 그리고/또는 (부분적으로) 라우터(19)를 불능화하기 위하여 네트워크 조절기(18)를 채용하는 것 대신에, 도 13 내지 도 14에서 설명된 방법에서는, 그러한 활동은 설정 서버(52)에 의하여 직접 수행되고, 한편 조절기(18)는 프록시(proxy) 또는 릴레이(relay)로 사용된다. 일부 실시예들에서는 터널들, 즉 점대점 보안 연결들/통신 채널들을 이용하여 라우터(19)의 원격 설정을 수행한다.
로컬 네트워크(14) 내에 설치하는 것에 응답으로, 네트워크 조절기(18)는 개별 네트워크 조절기, 라우터(19) 및 개별 로컬 네트워크에 연결된 클라이언트 시스템들을 위한 특징적인 식별 표시자(identifying indicator)를 포함하여, 서버(50-52)들에 등록 메시지를 전송할 수 있다. 따라서, 서버(50-52)들은 개별 장치 각각을 선택적으로 식별할 수 있고 각각의 클라이언트 시스템(12)과 라우터(19)를 가입 및/또는 개별 네트워크 조절기에 연결시킬 수 있다. 설정 서버(52)와 함께 이러한 등록의 절차는 서버(52)로 하여금 조절기(18)로부터 터널 연결(tunnel connection)들을 받아들일 수 있게 한다.
로컬 네트워크를 재설정하기 위하여 사용자로부터 허가를 얻는 것(단계 340)에 응답으로, 네트워크 조절기(18)는 조절기(18)를 서버(52)에 연결하는 통신 터널(69)을 열 수 있다. 예시적 터널은 보안 쉘(secure shell, SSH) 터널, 즉 SSH 프로토콜의 버전을 이용하는 터널 셋업(tunnel set up)을 포함한다. 일부 실시예에서, 네트워크 조절기(18)는 터널(69)을 통하여 수신된 네트워크 트래픽을 라우터(19)로 리디렉팅하고, 그리고/또는 라우터(19)로부터 수신된 통신을 터널(69)을 통하여 서버(52)로 리디렉팅하기 위하여 포트 포워딩 전략(port forwarding strategy)을 채용한다. 그러한 포트 포워딩은 네트워킹 분야에서 알려진 임의의 방법을 사용하여, 예를 들어서, 프록싱(proxying), SOCKS 클라이언트, 네트워크 주소 변환(network address translation, NAT) 등을 이용하여 달성될 수 있다.
포트 포워딩을 이용함으로써, 설정 서버(52)의 일부 실시예들은 따라서 터널(69)을 통하여 라우터(19)를 원격으로 설정할 수 있다. 그러한 원격 설정은 라우터(19)의 장치 유형을 결정하는 것이나, 라우터(19)로 설정 커맨드를 전송하는 것 등과 같은 도 11 내지 도 12와 관련하여 상술한 작업들의 일부를 포함할 수 있다.
라우터(19)의 장치 유형을 결정하는 것에 응답으로, 서버(52)는 터널 요청(tunnel request, 68)을 조절기(18)로 보낼 수 있고, 상기 터널 요청은 네트워크 조절기(18)로 하여금 터널(69)을 셋업(set-up)하도록 명령한다(단계 346). 상기 터널은 포트 포워딩과 함께 설정될 수 있고, 따라서 서버(52)에 의하여 조절기(18)로 보내진 통신은 라우터(19)로 포워딩될 것이다. 단계(348)에서, 서버(52)는 그러고 나서 로그인 데이터 및/또는 라우터 설정 커맨드들을 터널(69) 위로 전송해서 라우터(19)로 하여금 라우터(19)의 DHCP 서비스를 불능화하거나 아니면 재설정하도록 명령한다.
도 15 내지 도 16은 본 발명의 일부 실시예들에 따라서 라우터(19)로부터 네트워크 서비스들을 인수하는 또 다른 방법을 설명한다. 로컬 네트워크(14)로 도입될 때, 조절기(18)는 현재 네트워크 서비스 제공자(예를 들어서, 라우터(19))에게 주소 요청(70)을 보낼 수 있고, 네트워크 주소를 요청한다(단계 350). 응답으로, 라우터(19)는 조절기(18)로 주소 제안(72)을 리턴할 수 있다. 요청(70)과 리턴(72)은 표준 주소 할당 프로토콜(standard address assignment protocol), 예를 들어서 DHCP의 일부를 형성할 수 있다. 단계(352)는 개별 네트워크 주소 및/또는 다른 네트워크 파라미터들(예를 들어서, 게이트웨이, DNS 서버 등)을 사용하기 위하여 주소 제안(72)을 수용하는 것과 네트워크 조절기(18)를 설정하는 것을 추가적으로 포함할 수 있다.
다음으로, 단계(354)에서, 조절기(18)는 네트워크 서비스 인수 절차를 수행하기 위하여 인간 작업자의 허가를 획득할 수 있다(도 12와 관련한 앞선 기재 참조). 허가를 획득하는 것의 응답으로, 단계(356)에서, 네트워크 조절기(18)는 이전에 수신된 주소 제안(72)의 파라미터들에 따라서 네트워크 주소들의 타겟 세트를 결정할 수 있다. DHCP를 이용하는 일부 실시예에서, 제안(72)은 현재 네트워크 서비스 제공자에 의하여 할당을 위해 이용가능하고 또는 그 제공자에 의하여 관리되는 주소들의 풀(예를 들어서, 소정 범위의 주소 값들)의 표시자를 포함한다. 조절기(18)는 주소들의 개별 풀로부터 네트워크 주소들의 타겟 세트를 선택할 수 있다. 일부 실시예에서, 타겟 세트는 상기 풀의 모든 주소들을 포함한다. 다른 실시예에서, 상기 타겟 세트는 라우터(19)에 현재 할당된 주소를 제외하고, 상기 풀의 모든 주소를 포함한다.
단계(358)는 상기 타겟 세트의 모든 주소들을 사용하기 위하여 네트워크 조절기(18)를 설정할 수 있다. 일부 실시예들에서, 단계(358)는 가짜 장치들(익명의 것들)의 세트를 생성하는 것, 그리고 그러한 가짜 장치 각각에 네트워크 주소들의 타겟 세트의 서브세트를 할당하는 것을 포함한다. 다음으로, 단계(360-366)의 시퀀스에서, 네트워크 조절기(18)는 클라이언트(12a-f)들이 이들의 현재 할당된 네트워크 주소들을 포기하도록 계속해서(progressively) 강제하기 위하여 주소 충돌 탐지(address conflict detection, ACD) 메커니즘을 이용할 수 있다. 한편, 조절기(18)는 네트워크 주소들의 새로운 세트 및/또는 다른 설정 파라미터들을 클라이언트 시스템(12a-f)들에 제안하기 위하여 DHCP 모듈(36)을 사용할 수 있고, 따라서 네트워크 서비스 인수 절차를 완료한다.
예시적인 ACD 메커니즘은 2008년 7월에 Apple®, Inc.의 Network Working Group에 의해 발행된 IPv4 Address Conflict Detection Request for Comments (RFC5227)에 기술되어 있다. 상기 기술된 ACD 메커니즘은 네트워크 주소 할당의 일부로서(예를 들어서, 네트워크 주소를 대여하는 최초 제안 시에 또는 개별 네트워크 주소에 대한 대여 갱신 시에 발생), 각 클라이언트 및/또는 이들의 개별 네트워크 서비스 제공자가 개별 네트워크 주소가 이용 가능한지, 즉 다른 장치에 의하여 이미 이용중이 아닌지 검증하는 것을 요구한다. 그러한 검증은 특히, Address Resolution Protocol (ARP) 및 Neighbor Discovery Protocol (NDP)에 기술된 메커니즘 및/또는 도구들을 사용할 수 있다. 예시적인 검증은 개별 클라이언트 및/또는 제공자가 현재 검증되는 네트워크 주소로 프로브(probe)(예를 들어서, 특수하게 설정된 네트워크 패킷, 핑(ping), 아르핑(arping) 등)을 내보내는 것을 포함한다. 상기 프로브를 내보낸 상기 클라이언트 및/또는 제공자가 개별 프로브에 대한 응답을 받지 못할 때, 개별 주소는 이용가능한 것으로 여겨지고 개별 클라이언트에 (재)할당될 수 있다. 반대로, 클라이언트 및/또는 제공자가 개별 프로브에 대한 응답을 받는 경우, 개별 주소는 이용중인 것으로 여겨지고 개별 클라이언트에게 더 이상 (재)할당되지 않는다.
상술한 상기 ACD 메커니즘은 도 15 내지 도 16에서 도시된 바와 같이 인수 목적들을 위하여 네트워크 조절기(18)의 일부 실시예들에 의하여 이용된다. 단계(360-362)들의 시퀀스에서, 조절기(18)는 클라이언트 시스템(12) 및/또는 라우터(19)에 의하여 각각 발행된 주소 이용가능성 프로브(address availability probe)(64a-b)들을 주목할 수 있다. 그러한 프로브를 탐지하는 것에 응답으로, 단계(364)는 상기 질의를 받은 주소(probed address)가 단계(356)에서 결정된 네트워크 주소들의 타겟 세트의 임의의 성분과 매칭(matching)되는지 결정한다. 부정인 경우, 조절기(18)는 주소 이용가능성 프로브를 주목하는 것으로 돌아간다.
질의를 받은 주소가 주소들의 타겟 세트의 성분과 매칭(matching)되는 경우, 단계(366)에서, 조절기(18)는 개별 프로브의 발신자(sender)에게 프로브 응답(66a-b)을 리턴할 수 있고, 상기 프로브 응답은 개별 네트워크 주소가 이용 가능하지 않다는 것을 표시하도록 구성된다. 일부 실시예에서, 단계(366)는 개별 가짜 장치의 상세들로 구성된 프로브 응답을 발행하는 네트워크 조절기(18)에 의해서 생성된 가짜 장치(익명, alias)를 포함한다. 클라이언트 시스템(12)이 충돌 탐지를 지지하도록 구성될 때, 그러한 리턴 프로브를 수신하는 것은 개별 네트워크 주소를 사용하는 것을 멈추고 새로운 주소를 요청하는 클라이언트 시스템(12)을 결정할 수 있다. 그러한 새로운 요청들은 주소들의 타겟 세트에서 모든 주소들에 대해서 실패하게 되는데, 그 이유는 이들이 단계(360-366)들의 재작동을 촉발하게 하기 때문이다. 개별 클라이언트 시스템(12a-f)을 위한 단계(360-366)들의 시퀀스를 반복함으로써, 네트워크 조절기(18)는 따라서 계속적으로 라우터(19)에 의하여 제안된 네트워크 서비스들을 불능화할 수 있고 조절기(18)에 의하여 발행된 네트워크 주소들의 새로운 세트를 이용하도록 클라이언트 시스템(12a-f)들을 강제할 수 있다.
자동 장치 발견 및 에이전트 프로비저닝 (Automatic Device Discovery and Agent Provisioning)
로컬 네트워크(14)를 위하여 네트워크 서비스들의 게이트웨이 및/또는 제공자로서 그 자체를 설치하여, 네트워크 조절기(18)는 로컬 네트워크(14)에 연결된 클라이언트 시스템(12a-f)들로 유틸리티 에이전트(41)들(예를 들어, 도 6)을 분산하는 것을 진행할 수 있다. 도 17은 본 발명의 일부 실시예에 따른 클라이언트 시스템(12), 네트워크 조절기(18) 및 클라이언트 설정 서버(52) 사이의 예시적인 데이터 교환을 보여주고, 상기 교환은 장치 발견 및 에이전트 프로비저닝 중에 일어난다. 그러한 교환은 새로운 클라이언트 시스템이 로컬 네트워크(14)로 먼저 도입될 때뿐만 아니라 네트워크 조절기(18)의 설치시에 일어날 수 있다.
장치 특정 유틸리티 에이전트를 전달하기 위하여 네트워크 조절기(18)에 의하여 수행되는 단계들의 예시적인 시퀀스는 도 18에서 설명된다. 일부 실시예에서, 조절기(18)는 로컬 클라이언트 시스템들로부터 연결 요청들을 기다릴 수 있다(단계 400). 예시적인 연결 요청은 HTTP 요청을 포함한다. 클라이언트 시스템(12)이 확장된 네트워크(16)의 주소에 접속하려고 시도할 때, 조절기(18)는 개별 클라이언트 시스템이 유틸리티 에이전트(41)를 설치하도록 강제할 수 있다. 일부 실시예에서, 조절기(18)는 설정 서버(52)로 현재 네트워크 접근 요청을 리디렉팅할 수 있고, 이것은 개별 클라이언트 시스템에게 에이전트 설치기(75)를 제공할 수 있다(도 17). 선택적 실시예에서, 조절기(18)는 서버(52)로부터 에이전트 설치기(75)를 획득할 수 있고, 그 다음에 개별 클라이언트 시스템에 설치기(75)를 푸시(push)할 수 있다.
일부 실시예에서, 설치기(75)는 사용자에게 에이전트(41) 설치에 동의하도록 요청하는, 사용자에게 확정 인터페이스(confirmation interface)를 노출시키는 클라이언트 시스템(12)(또는 관리 장치(20))을 결정하도록 구성된다. 설치기(75)는 (예를 들어서, SLA에 나열된 바와 같은) 사용자가 개별 가입의 요건들에 동의하는 것을 확정하도록 사용자에게 추가적으로 요청할 수 있다. 사용자가 동의를 표시하면, 설치기(75)는 에이전트(41)를 설치하고 실행할 수 있다. 일부 실시예에서, 설치기(75) 및/또는 네트워크 조절기(18)는 클라이언트 설정 서버(52)로 개별 클라이언트 시스템을 등록할 수 있다(도 18의 단계 418). 그러한 등록은 서버(52)가 개별 클라이언트 시스템을 네트워크 조절기(18)에 부착된 가입 레코드와 연계하는 것을 포함할 수 있다.
아주 다양한 장치들이 현재 통신 네트워크와 인터넷에 연결되어 있다는 점을 고려해서, 피보호 클라이언트 시스템(12a-f)들에 전달된 유틸리티 에이전트(41)들이 각 클라이언트 시스템(예를 들어서, 스마트폰, 태블릿, 스마트와치, 운용중인 Windows® OS 또는 iOS® 등)의 장치 유형에 맞추어지는 것이 바람직할 수 있다. 예시적인 단계들(400-406)(도 18)은 클라이언트 시스템(12)의 장치 유형을 결정하는 예시적인 방법을 설명한다. 네트워크 조절기(18)는 HTTP 요청으로부터 사용자 에이전트 표시자를 추출함으로써 장치 유형 표시 데이터를 얻을 수 있다(사용자 에이전트 표시자는 통상적으로 브라우저 유형과 HTTP 요청 발신자의 운영 시스템 둘다에 대한 정보를 포함한다). 조절기(18)는, 예를 들어서 개별 서비스들 및/또는 프로토콜들을 위하여 스캐닝함으로써, 개별 클라이언트 시스템들에 의해서 사용되는 서비스들, 프로토콜들 및/또는 어플리케이션들의 세트를 추가적으로 탐지할 수 있다(단계 404). 그러한 스캐닝은 개별 클라이언트 시스템의 특정 포트로 프로브를 내보내는 것과, 응답에 주목(listening)하는 것을 포함할 수 있다. 탐지된 프로토콜과 서비스들은 특히, Bonjour®, Simple Network Management Protocol (SNMP), 및 Network mapper (Nmap)을 포함할 수 있다. 네트워크 조절기(18)는 그러고 나서 규칙들의 세트, 결정 트리(decision tree) 및/또는 머신 러닝 알고리즘(machine-learning algorithm)을 사용하여, 그러한 장치 유형 표시 데이터에 따라서, 클라이언트 시스템(12)의 장치 유형을 국부적으로 결정할 수 있다. 선택적 실시예에서, 장치 유형 표시 데이터는 수신된 데이터에 따라서 그리고 장치 특징 데이터베이스(56)에 저장된 정보에 따라서 장치 유형을 식별하는 설정 서버(52)에 보내진다(단계 406). 예를 들어서, 서버(52)는 클라이언트 시스템(12)의 특징들을 데이터베이스(56)의 여러 엔트리들에 매칭하도록 시도할 수 있고, 그러한 엔트리 각각은 특징적 장치 유형(제품의 특징적 버전, 특징적 운영 시스템 등을 포함할 수 있다)에 대응할 수 있다. 장치 발견은 반복적 형태로 계속될 수 있다: 서버(52)는 클라이언트 시스템에 관한 이용가능한 정보에 따라서 장치 유형의 예비적 결정을 수행할 수 있다. 상기 예비적 결정에 응답으로, 서버(52)는 네트워크 조절기(18)로부터 상기 클라이언트 시스템에 대한 추가적 장치 유형 표시 데이터를 요청할 수 있다. 클라이언트 시스템(12)의 장치 유형의 긍정적 식별이 얻어질 때까지 계속적으로 추가적인 장치 유형 표시 데이터가 설정 서버(52)로 보내진다. 장치 유형이 성공적으로 식별되는 경우, 서버(52)는 조절기(18)로 통지를 보낼 수 있다. 상기 통지를 수신하는 것(단계 408)에 응답으로, 조절기(18)는 단계(400)에서 인터셉트된 네트워크 연결 요청을 에이전트 설치기 어플리케이션으로 리디렉팅할 수 있다.
선택적 장치 발견 및/또는 에이전트 프로비저닝 시나리오는 라우터(19)의 자동 탐지(도 13 내지 도 14)와 관련하여 상술한 것과 유사한 방식으로, 터널링(tunneling)을 포함할 수 있다. 그러한 일례에서, 조절기(18)는 조절기(18)를 서버(52)와 연결하는 통신 터널(예를 들어서, SSH 터널)을 연다. 개별 터널은 포트 포워딩과 함께 설정될 수 있고, 따라서 서버(52)로부터 수신된 통신들은 네트워크 조절기(18)에 의하여 개별 클라이언트 시스템(12)으로 리디렉팅된다. 그러고 나서 서버(52)는 터널을 통해서 에이전트 설치기를 클라이언트 시스템(12)으로 직접 전달할 수 있고, 클라이언트 시스템(12)으로 하여금 개별 에이전트를 설치하라고 추가적으로 명령할 수 있다. 서버(52)는 또한 상술한 방법들 중 임의의 것을 사용하여 클라이언트 시스템(12)으로부터 장치 유형 표시 정보를 얻기 위하여 SSH 터널을 사용할 수 있다.
아주 다양한 유틸리티 에이전트들이 본 명세서에서 설명된 시스템들과 방법들을 이용하여 프로비저닝(권한 설정)될 수 있다. 보안 서비스들을 제공하도록 구성된 예시적 유틸리티 에이전트(41)는 클라이언트 시스템(12)의 보안 평가(예를 들어서, 로컬 멀웨어 스캔)를 수행할 수 있고, 보안 평가 데이터를 설정 서버(52) 또는 보안 서버(50)로 보낼 수 있다. 그러고 나서 서버(들)는 사용자/관리자에게 디스플레이하기 위하여 보안 표시자를 관리 장치(20)에 포워딩할 수 있다. 사용자/관리자에게 디스플레이되는 예시적인 보안 표시자들은 특히, 클라이언트 시스템(12)에서 실행되는 특정 소프트웨어 객체(예를 들어서, 운영 시스템)가 최신의 것인지의 표시자, 그리고 클라이언트 시스템(12)을 보호하는 데 사용되는 패스워드의 강도의 표시자를 포함할 수 있다. 보안 에이전트에 의하여 수행되는 다른 예시적 활동들은 개별 클라이언트 시스템을 위한 보안 정책 및/또는 소프트웨어를 업데이트하는 것을 포함한다. 일부 실시예에서, 에이전트(41)는, 예를 들어서, 클라이언트 시스템(12)이 악성 공격의 대상인지에 대한 것을 결정하는 네트워크 패킷 검사 알고리즘(network packet inspection algorithm)을 사용하여 클라이언트 시스템(12)으로/로부터의 네트워크 트래픽을 필터링하도록 구성된다. 컴퓨터 보안 서비스들을 제공하는 유틸리티 에이전트의 추가적인 기능은 후술된다.
보안 통신 서비스들을 제공하도록 구성된 예시적인 유틸리티 에이전트(41)는 가상 사설 네트워크(VPN) 에이전트를 포함한다. 그러한 에이전트들은 클라이언트 시스템(12)이 로컬 네트워크(14)를 떠날 때(예를 들어서, 사용자가 사용자의 모바일 전화기와 함께 집을 떠날 때) 클라이언트 시스템(12)을 보호할 수 있다. 그러한 에이전트는 보안 통신 터널을 열기 위하여 그리고/또는 개별 클라이언트 시스템과 보안 서버(50) 사이의 VPN을 설정하기 위하여 네트워크 조절기(18) 및/또는 설정 서버(52)와 협동할 수 있다(이하에서 상술).
부모 통제 서비스를 제공하도록 구성된 예시적 유틸리티 에이전트(41)는 클라이언트 시스템(12)의 사용을 모니터링할 수 있고, 관리 장치(20)를 통하여 감독자 사용자(예를 들어서, 부모)에게 사용 패턴을 보고할 수 있다. 에이전트(41)는 추가적으로 클라이언트 시스템(12)이 특정 원격 리소스(예를 들어서, IP 주소, 웹사이트 등)에 접속하는 것을 방지할 수 있고, 또는 특정의 국부적으로 설치된 어플리케이션(예를 들어서, 게임들)의 사용을 방지할 수 있다. 그러한 차단은 영구적으로 또는 사용자를 특정한 스케줄에 따라서 시행될 수 있다.
원격 기술 지원을 제공하도록 구성된 예시적인 유틸리티 에이전트(41)는 클라이언트 시스템(12)과 설정 서버(52) 사이의 보안 통신 채널(예를 들어서, SSH 터널)을 자동으로 설정하거나 그리고/또는 열을 수 있다. 그러고 나서, 설정 및/또는 문제 해결(troubleshooting) 커맨드들은 서버(52)로부터 클라이언트 시스템(12)으로, 가능하게는 클라이언트 시스템(12)의 사용자로부터의 지원이나 명백한 관여 없이, 전송될 수 있다.
홈 어플라이언스, 웨어러블 장치 등과 같은 일부 클라이언트 시스템들은 위에 나타낸 바와 같은 유틸리티 에이전트를 설치할 수 없을 수 있다. 그러나 그러한 장치들은 개별 장치들의 원격 커맨드를 가능하게 하는 장치 관리 에이전트들 및/또는 내부 장착 구성(built-in configuration)을 포함할 수 있다. 본 발명의 일부 실시예들은 기존 관리 에이전트 및 장치 특정 프로토콜 및/또는 그러한 장치들로 파라미터 값 업데이트들을 통신하기 위한 통신 방법을 사용할 수 있다. 그러한 장치들의 경우에도, 장치 유형을 정확하게 식별하는 것은 설정 서버(52)로 하여금 개별 클라이언트 시스템들에 설정 커맨드들을 적절하게 통신하고 형식을 갖출 수 있게 한다(포맷팅(formatting)을 할 수 있게 한다). 그러한 클라이언트 시스템들의 장치 유형의 결정을 용이하게 하기 위해서는, 네트워크 조절기(18)는 개별 클라이언트 시스템으로부터 수신된 통신을 적극적으로 분석하거나, 또는 개별 통신들을 설정 서버(52)로 리-라우팅할 수 있다.
일부 실시예에서, 네트워크 조절기(18)는 클라이언트 시스템(12)의 확장된 네트워크(16)로의 접근을 유틸리티 에이전트(41)의 성공적 설치의 조건부로 할 수 있다. 도 18에서 단계(416)에 의해 도시된 바와 같이, 일부 실시예들은 에이전트 설치에 응답해서만 클라이언트 시스템이 확장된 네트워크(16)에 접근하도록 할 수 있다. 그러한 설정은 클라이언트 시스템(12) 및/또는 로컬 네트워크(14)의 보안을 개선할 수 있다.
장치 관리
유틸리티 에이전트(41)들이 기능하게 되면, 유틸리티 에이전트들은 예를 들어서 개별 클라이언트 시스템(12a-f)들을 원격으로 설정하기 위하여 다양한 장치 관리 작업을 수행하는 데 이용될 수 있다. 예시적인 설정 작업들에는, 특히, 클라이언트 시스템을 켜거나 끄는 것(예를 들어서, 홈 보안 시스템을 작동시키거나 작동중지시키거나, 조명을 끄거나 켜는 것), 클라이언트 시스템의 기능 파라미터(functional parameter)의 값을 설정하는 것(예를 들어서, 스마트 온도조절기에서 원하는 온도 설정하는 것), 네트워크 및/또는 보안 특징을 설정하는 것(예를 들어서, 특정 클라이언트 시스템들이 네트워크(14)에 접속하는 것을 허용하거나 차단하는 것, 방화벽 파라미터들을 설정하는 것, 부모 통제 어플리케이션들 및/또는 특징들을 설정하는 것), 개별 클라이언트 시스템에서 실행되는 요소들에 대한 소프트웨어 업데이트를 수행하는 것, 및 개별 클라이언트 시스템과 관련하여 기술 지원/문제 해결 과업을 수행하는 것이 있다.
일부 실시예에서, 사용자/관리자는 관리 장치(20)(예를 들어서, 관리 어플리케이션을 실행하는 스마트폰)에 의하여 노출된 관리 GUI(48)를 통해서 클라이언트 시스템(12)을 원격으로 관리할 수 있다. 설정 서버(52)와 함께 네트워크 조절기(18)를 등록한 다음으로, 서버(52)는 조절기(18)와 관리 장치(20)를 가입(subscription)과 함께 특징적으로 연계할 수 있다. 개별 가입은 개별 네트워크 조절기에 의하여 보호되는 클라이언트 시스템(12a-f)들의 세트와 함께 조절기(18)를 특징적으로 연관시키는 것을 또한 가능하게 한다. 따라서, 관리 장치(20)의 사용자는 설정 서버(52)의 도움으로, 관리 GUI(48)로부터 원격으로 관리하기 위하여 특정 클라이언트 시스템을 선택할 수 있는 것이 가능해질 수 있다. 실질적 장치 관리(예를 들어서, 파라미터 값들을 설정하는 것)는 관리 장치(20)와 개별 클라이언트 시스템 사이의 설정 커맨드들 및/또는 데이터를 전송하는 것을 포함할 수 있다.
일부 실시예에서, 설정 데이터/커맨드들을 타겟 클라이언트 시스템으로 전송하는 것은 라우터(19)를 설정하는 것(도 13 내지 도 14)과 장치 발견과 관련하여 상술한 시스템들과 방법들의 변형을 사용한다. 관리 장치(20)로부터 장치 관리 요청을 수신하는 것에 응답으로, 서버(52)는 네트워크 조절기(18)로 통지를 발송할 수 있고, 상기 통지는 조절기(18) 및/또는 타겟 클라이언트 시스템으로 하여금 서버(52)와 조절기(18)와의 사이 및/또는 서버(52)와 타겟 클라이언트 시스템 사이에 통신 터널(예를 들어서, SSH 터널)을 열도록 한다. 상기 터널은 상술한 바와 같은 포트 포워딩으로 설정될 수 있다. 그러한 터널은 그러고 나서 서버(52)로부터 타겟 클라이언트 시스템으로 설정 커맨드들을 전송하는데 사용될 수 있고, 개별 커맨드들은, 예를 들어서 개별 클라이언트 시스템의 설정 세팅을 변경하는데 적합하게 만들어진다. 일부 실시예에서, 그러한 설정 커맨드들은 유틸리티 에이전트(41)에 의하여 실행된다. 타겟이 된 클라이언트 시스템이 유틸리티 에이전트가 부족하거나 그러한 에이전트를 설치할 수 없을 때, 설정 커맨드들은 개별 장치의 본래 관리 소프트웨어(native management software)를 목표로 한다.
일례의 어플리케이션에서, 사용자는 상술한 방법들을 이용하여 특정 타겟 클라이언트 시스템의 기술 지원/문제 해결을 요청할 수 있다. 그리고 기술 지원은 개별 사용자의 추가적 관여 없이도 자동으로 진행될 수 있다. 문제 해결의 일부로서, 서버(52)의 일부 실시예들은 특정 기술 문제를 해결하도록 구성된 특화된 유틸리티 에이전트(dedicated utility agent)를 설치할 타겟 클라이언트 시스템을 결정할 수 있다.
컴퓨터 보안 보호
도 19a 및 도 19b는 멀웨어, 애드웨어, 스파이웨어 또는 네트워크 침입과 같은 컴퓨터 보안 위협들로부터 클라이언트 시스템(12a-f)들을 보호하기 위하여 보안 서버(50)와 네트워크 조절기(18)가 협동하는 예시적 실시예를 보여준다. 도 19a의 실시예에서, 네트워크 조절기(18)는 피보호 클라이언트 시스템(12)과 보안 서버(50)를 통하여 로컬 네트워크 외부에 있는 컴퓨터 시스템과의 사이의 데이터 트래픽(본 명세서에서 네트워크 패킷(80)에 의해서 설명됨)의 일부 또는 전부를 리-라우팅한다. 그러한 리-라우팅은 예를 들어서 로컬 네트워크(14)와 확장된 네트워크(16) 사이의 게이트웨이로서 네트워크 조절기(18)를 설치함으로써, 그리고 네트워크 트래픽을 인터셉트하고 이것을 서버(50)로 적극적으로 리디렉팅하기 위하여 조절기(18)를 사용함으로써 달성될 수 있다. 도 19a에서 설명된 바와 같은 실시예에서는, 위협 탐지는 보안 서버(50)에 의하여, 본 기술분야에서 알려진 임의의 방법을 사용하여(예를 들어서, 이들이 멀웨어를 포함하고 있는지 여부, 또는 이들이 네트워크 침입을 나타내는지 여부를 결정하기 위하여 네트워크 패킷(80)을 분석함으로써) 수행된다.
도 19b에서 설명된 바와 같은 일부 실시예에서, 위협 탐지는 네트워크 조절기(18)에 의하여 수행된다. 그러한 국부 탐지(local detection)는, 예를 들어서, 패킷 컨텐츠를 필터링하는 것을 포함할 수 있다. 조절기(18)는 보안 서버(50)로부터 필터 파라미터(82)(예를 들어서, 멀웨어 표시 서명, malware-indicative signature)의 세트를 다운로드 함으로써 멀웨어 탐지 알고리즘을 최신의 것으로 유지할 수 있다. 일부 실시예들은 조절기(18)에서의 위협 탐지를 보안 서버(50)에서의 위협 탐지와 결합할 수 있다. 그러한 일 예에서, 네트워크 조절기(18)는 예를 들어서, 상대적으로 저가의 방법들을 이용하여 데이터 트래픽의 예비적 분석을 수행할 수 있다. 조절기(18)는 그러고 나서 의심되는 네트워크 패킷을 추가 분석을 위하여 서버(50)로 보낼 수 있다.
보안 서버(50)를 통하여 트래픽을 리-라우팅하는 것은(도 19a) 로컬 보안 분석을 수행하는 것(도 19b)보다 여러 장점을 가질 수 있다. 서버(50)는 다목적으로 구축되고 고용량의 컴퓨터 시스템(multiple purpose-built, high-throughput computer system)을 포함할 수 있고 따라서 조절기(18)보다 훨씬 효과적으로, 심층 패킷 검사(deep packet inspection)과 같은 집중 연산 트래픽 분석(computationally intensive traffic analysis)을 수행할 수 있다. 네트워크 조절기(18)에 그러한 성능을 설치하는 것은 조절기(18)의 가격, 복잡성 및 공격 범위(attack surface)를 실질적으로 증가시키게 된다. 중앙화된 데이터 분석(centralized data analysis)을 하는 다른 장점은 그러한 설정들이 네트워크 패킷 분석들에 사용되는 멀웨어 식별 서명들과 다른 데이터의 업데이트를 다수의 분산된 네트워크 조절기(18)에 분산할 필요를 없애버린다는 점이다. 중앙화된 보안 시스템들은 또한 통상적으로 새롭게 발견된 위협들에 대응하기에 보다 설치가 잘되어 있다.
그러한 컴퓨터 보안 시스템들과 방법들의 예시적 어플리케이션은 피보호 클라이언트 시스템이 악성 또는 사기성 웹페이지들에 접근하는 것을 차단하는 것을 포함한다. 그러한 일 예에서, 원격 리소스(remote resource)에 접근하려는 요청(예를 들어서, 피보호 클라이언트 시스템으로부터의 HTTP 요청)은 인터셉트되고 상기 원격 리소스, 웹페이지 등으로의 접근이 컴퓨터 보안 위협을 나타내는지 결정하기 위하여 분석된다. 그러한 분석은 본 기술분야에서 알려진 임의의 방법, 예를 들어서, 개별 리소스의 주소를 알려진 악성 또는 사기성 웹페이지들의 블랙리스트에 대하여 매칭하는 것, 개별 웹페이지 등의 레이아웃을 분석하는 것을 사용할 수 있다. 상기 분석은 보안 서버(50)(예를 들어서, 도 19a에 도시된 바와 같은 설정에서), 또는 네트워크 조절기(18)(예를 들어서, 도 19b에 도시된 바와 같음)에서 수행될 수 있다. 상기 분석에 따라서 상기 원격 리소스에 접근하는 것이 컴퓨터 보안 위험을 야기하는 것이 아니라고 인정되는 경우, 개별 클라이언트 시스템은 개별 원격 리소스에 접근이 허락된다. 상기 접근이 위험하다고 생각되는 경우, 상기 요청하는 클라이언트 시스템은 개별 리소스에 접근이 차단될 수 있다. 접근을 차단하는 것에 추가하여, 보안 서버(50)의 일부 실시예들은 네트워크 조절기(18)의 사용자/관리자에게 보안 이벤트가 발생되었다는 것을 알리는 이벤트 통지를 관리 장치(20)에 전송할 수 있다. 상기 통지는 개별 이벤트에 관련된 클라이언트 시스템의 표시자와, 이벤트(예를 들어서, 사기성 웹사이트에 접속)의 유형의 표시자를 포함할 수 있다.
본 발명의 일부 실시예에 따른 컴퓨터 보안 시스템의 다른 예시적 어플리케이션은 도 20 내지 도 21에서 설명된다. 앞서 보인 바와 같이, 클라이언트 시스템은 로컬 네트워크(14) 상에서 네트워크 조절기(18)에 연결되었을 때 컴퓨터 보안 위협들에 대하여 보호될 수 있다. 네트워크(14)를 떠나는 것(예를 들어서, 사용자가 사용자의 모바일 전화기와 함께 집을 떠날 때 일어남)은 그러나 개별 클라이언트 시스템을 여러 보안 위험들에 노출시킬 수 있다. 일부 실시예들은 조절기(18)와 설정 서버(52)와 함께 보호를 위하여 등록이 되었다면 개별 클라이언트 시스템이 항상 보호되는 것을 보장한다.
그러한 보호를 달성하기 위하여, 일부 실시예들은 개별 클라이언트 시스템(예를 들어서, 모바일 전화기, 태블릿 컴퓨터)에 유틸리티 에이전트(41)를 설치하고, 유틸리티 에이전트(41)는 개별 클라이언트 시스템을 보안 서버(50)와 함께 연결하는 가상 사설 네트워크(VPN)를 관리하도록 구성된다. 개별 클라이언트 시스템이 내부 장착 VPN 에이전트를 구비할 때(built-in VPN agent), 일부 실시예들은 유틸리티 에이전트(41)를 설치하는 것 대신에 기존 VPN 에이전트를 설정하는 것을 선택할 수 있다. 보안 서버(50)로의 VPN 연결(터널)은 예를 들어서 개별 클라이언트 시스템이 로컬 네트워크(14)를 떠날 때 시작될 수 있다. 로컬 네트워크(14)로부터 떨어져 있을 때에도 보안 서버(50)와의 연결을 유지함으로써, 일부 실시예들은 개별 클라이언트 시스템을 보호하기 위하여 상술한 컴퓨터 보안 방법들을(예를 들어서, 보안 서버(50)를 통하여 트래픽을 리-라우팅하기 위하여) 계속 사용할 수 있다.
도 20은 클라이언트 시스템(12), 네트워크 조절기(18) 및 설정 서버(52) 사이의 예시적 데이터 교환을 보여주는데, 상기 교환은 VPN 유틸리티 에이전트와 연관된 보안 서버(50)와의 보안 연결을 운영하는 것의 일부로서 일어난다. 도 21은 본 발명의 일부 실시예에 따라서 VPN 유틸리티 에이전트를 작동하는 클라이언트 시스템(12)에 의하여 수행되는 단계들의 예시적인 시퀀스를 보여준다.
클라이언트 시스템(12)에서 실행되는 VPN 유틸리티 에이전트는 설정 서버(52)로부터 보안 서버(50)와의 VPN 터널을 확립하기 위한 연결 파라미터(88)를 획득할 수 있다. 그러한 파라미터들은 상술한 바와 같이 클라이언트 시스템(12)의 장치 유형에 적합하게 될 수 있다. 일부 실시예에서, 단계들(502-504)의 시퀀스는 클라이언트 시스템(12)이 현재 로컬 네트워크(14)(즉, 네트워크 조절기(18)에 의해서 서비스되는 로컬 네트워크)의 일부인지를 결정한다. 단계(502)는 본 기술분야에서 알려진 임의의 방법에 따라서, 예를 들어서, 조절기(18)와 개별 클라이언트 시스템 사이의 킵얼라이브 메시지(keepalive message)(84)의 스트림을 유지함으로써 진행될 수 있다. 클라이언트 시스템(12)이 로컬 네트워크(14)에 연결된 채로 유지될 때, 클라이언트 시스템(12)은 외부 네트워크(16)에 접속하기 위한 게이트웨이로서 조절기(18)를 사용할 수 있고 상술한 방법에 따라서 컴퓨터 보안 위협들에 대하여 보호된다.
클라이언트 시스템(12)이 이것이 로컬 네트워크(14)에 더 이상 연결되지 않는다는 것을 탐지할 때, 단계(510)에서, 클라이언트 시스템(12)에서 실행되는 VPN 에이전트는 보안 서버(50)로 VPN 터널(90)을 열 수 있고 VPN 파라미터(88)들에 따라서 터널(90)을 설정한다. 클라이언트 시스템(12)은 그 이후 인터넷 브라우징이나 메시지 전송 등과 같은 통신을 위하여 VPN 터널(90)을 사용할 수 있다. 선택적 실시예에서, 네트워크 조절기(18)는 클라이언트 시스템(12)이 로컬 네트워크(14)를 떠났다는 것을 결정할 수 있고, 응답으로, 보안 서버(50)에 통지할 수 있다. 터널(90)을 확립하는 것은 다음으로 서버(50)에 의하여 개시될 수 있다.
클라이언트 시스템(12)이 네트워크 조절기(18)의 인근으로 리턴할 때(예를 들어서, 사용자가 사용자의 모바일 전화기와 함께 집으로 돌아올 때), 클라이언트 시스템(12)은 네트워크 조절기(18)로부터 네트워크 서비스의 제안(예를 들어서, DHCP 제안)을 탐지할 수 있다. 로컬 네트워크(14)에 연결하기 위한 그러한 제안을 수신할 때, 단계들(514-516)의 시퀀스에서, 개별 클라이언트 시스템에서 실행되는 VPN 유틸리티 에이전트는 VPN 터널(90)을 닫고 로컬 네트워크(14)에 연결할 수 있다.
본 명세서에서 설명되는 예시적 시스템들과 방법들은 악성 소프트웨어와 네트워크 침입과 같은 컴퓨터 보안 위협들에 대하여 복수의 클라이언트 시스템을 보호하는 것을 가능하게 한다. 종래의 컴퓨터 시스템을 보호하는 것 이외에, 설명된 시스템들과 방법들은 사물 인터넷으로 대중문화에서 집합적으로 알려진 장치들과 같은, 인터넷에 연결된 인텔리전트 장치들의 다양한 생태계(ecosystem)을 보호하는데 특히 적합하다. 그러한 장치들의 예는, 특히, 웨어러블 장치(예를 들어서, 스마트와치, 피트니스 밴드, 인터액티브 주얼리(interactive jewelry)), 홈 엔터테인먼트 장치(TV, 미디어 플레이어, 게임 컨솔), 홈 어플라이언스(냉장고, 온도조절기, 인텔리전트 조명 시스템, 가정 보안 시스템)을 포함한다. 일부 실시예들은, 예를 들어서, 통일된 집적화된 솔루션을 이용하여 가정에서 모든 전자 장치를 보호할 수 있게 한다.
일부 실시예들은 복수의 피보호 클라이언트 시스템을 상호 연결하는 로컬 네트워크를 셋업하고 관리하도록 구성된 네트워크 조절기를 포함한다. 네트워크 조절기는 인터넷과 같은 확장된 네트워크와 로컬 네트워크 사이에 게이트웨이 위치에 그 자신을 설치할 수 있다. 일부 실시예에서, 원격 보안 서버를 통하여 로컬 네트워크 밖의 개체와 피보호 클라이언트 시스템 사이에서 교환되는 데이터 트래픽의 적어도 일부를 리-라우팅하는 네트워크 조절기에 의하여 보호가 달성된다. 상기 트래픽은 그러고 나서 멀웨어에 대하여 스캐닝될 수 있고 위험한 리소스(예를 들어서, 악성 또는 사기성 웹사이트)에 대한 접근은 차단된다.
일부 실시예들은 컴퓨터 보안 위협들에 대한 보호가 개별 클라이언트 시스템이 로컬 네트워크를 떠났을 때도 계속되는 것을 보장한다. 예를 들어서, 사용자가 사용자의 모바일 전화기와 함께 집을 떠났을 때, 그 전화기를 계속 보호가 된다. 일부 실시예에서는, 그러한 보호는 피보호 클라이언트 시스템이 로컬 네트워크를 떠났다는 것을 자동으로 탐지하고, 응답으로, 보안 서버로의 터널(예를 들어서, 점대점 VPN 연결)을 자동으로 활성화해서 달성되는데, 위 터널은 상기 장치가 로컬 네트워크로부터 떨어져 있을 때 개별 장치로/개별 장치로부터의 데이터 트래픽을 수행하는 데 사용된다.
일부 실시예에서, 네트워크 조절기는 서비스 가입과 특징적으로 연계되고, 이것은 모든 피보호 클라이언트 시스템에 대하여, 예를 들어서 가정 내의 모든 인텔리전트 장치들에 대하여, 보안 및 다른 측면들의 통일적 관리가 가능하게 한다. 피보호 클라이언트 시스템이 사기성 웹사이트에 접근하려고 하는 시도와 같은 보안 이벤트는 따라서 자동으로 가입 계정(subscription account)과 연계될 수 있고, 개별 계정의 연락처 인원/관리자에게 보고될 수 있다. 보안 이벤트들을 보고하는 것은 관리자의 관리 장치(예를 들어서, 모바일 전화기)로 통지를 보내는 것을 포함할 수 있다. 일부 실시예에서, 그러한 통지는 보안 서버에 의하여 중앙화되고 사용자별 및/또는 장치별로 그룹핑된다. 관리 장치에서 실행되는 그래픽 유저 인터페이서(GUI)는 각각의 보안 이벤트와 통계 데이터 등에 대한 정보를 디스플레이할 수 있다. 본 발명의 일부 실시예들은 따라서 다수의 고객들/계정들을 위한 컴퓨터 보안을 관리하기 위한 중앙화된 솔루션이 가능하게 하고, 그러한 각 계정은 이들의 고유한 여러 그룹의 장치들과 연계된다.
로컬 네트워크에 연결된 클라이언트 시스템들의 보호를 보장하는 것 이외에, 일부 실시예들은 자동화된 설정, 문제해결/기술 지원, 및 피보호 클라이언트 시스템들을 위한 원격 관리를 위한 통일화된 솔루션을 제공한다. 일부 실시예들은 개별 피보호 장치에 유틸리티 에이전트를 설치하고, 상기 유틸리티 에이전트는 설정 데이터 및/또는 실행가능한 코드를 수신하기 위하여 원격 서버와 협동한다. 클라이언트 시스템의 사용자/관리자는 관리 장치(예를 들어서, 모바일 전화기)에 표시된 사용자 인터페이스를 통하여 개별 장치를 원격으로 관리할 수 있다. 그러한 관리는 예를 들어서, 작동 파라미터(operational parameter)(희망하는 가정 온도, 부모 통제 설정 등)를 설정하는 것, 소프트웨어 업데이트를 적용하는 것 및 문제해결하는 것을 포함할 수 있다.
본 발명의 일부 실시예들은 컴퓨터 공학 또는 네트워크 관리의 특별한 지식이 필요하지 않도록 사용이 편하도록 개별적으로 만들어질 수 있다. 예를 들어서, 설치 시에, 네트워크 조절기는 기존 라우터로부터 일부 네트워크 서비스를 자동으로 인수할 수 있고 로컬 네트워크를 위하여 인터넷 접속의 디폴트 제공자가 된다.
상기의 실시예들이 본 발명의 범위를 벗어나지 않는다면 다양한 방법으로 변경될 수 있음은 통상의 기술자에게 당연한 것이다. 따라서 본 발명의 범위는 이하의 청구항과 그들의 법적 균등물에 의해서 결정되어야 한다.

Claims (29)

  1. 하드웨어 프로세서와 메모리를 포함하는 네트워크 조절기로서,
    상기 하드웨어 프로세서는,
    i) 라우터로부터 네트워크 서비스를 자동으로 인수하도록 구성되되, 상기 네트워크 조절기는 로컬 네트워크 상에서 상기 라우터에 연결되고, 상기 네트워크 서비스는 네트워크 주소들을 상기 로컬 네트워크에 연결된 복수의 클라이언트 시스템에 할당하는 것을 포함하고;
    ii) 상기 네트워크 서비스를 인수하는 것에 응답으로, 상기 복수의 클라이언트 시스템들의 클라이언트 시스템에 의한 상기 로컬 네트워크 밖에 위치한 리소스에 접근하려는 요청을 인터셉트하도록 구성되고;
    iii) 상기 요청을 인터셉트하는 것에 응답으로, 상기 요청의 표시자를 분석을 위하여 원격 보안 서버에 전송하도록 구성되되, 상기 보안 서버는 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하도록 구성되고,
    상기 네트워크 서비스를 인수하는 것은,
    i) 상기 로컬 네트워크에 연결된 개체에 의해서 발송된 주소 이용가능성 프로브를 탐지하기 위하여(이때, 상기 개체는 상기 라우터와 상기 클라이언트 시스템으로 구성된 그룹으로부터 선택되고, 상기 주소 이용가능성 프로브는 상기 네트워크 조절기의 현재 네트워크 주소와는 구별되는 타겟 네트워크 주소로 발송됨), 그리고,
    ii) 상기 주소 이용가능성 프로브를 탐지하는 것의 응답으로, 프로브(질의)를 받은 주소가 이용가능한지 결정하기 위하여, 그리고
    iii) 상기 프로브(질의)를 받은 주소가 이용가능한지 결정하는 것의 응답으로, 상기 프로브를 받은 주소가 이용가능하다면 상기 프로브를 받은 주소를 할당하기 위하여, 그리고
    iv) 상기 프로브(질의)를 받은 주소가 이용가능한지 결정하는 것의 응답으로, 상기 프로브를 받은 주소가 이용가능하지 않다면, 상기 타겟 네트워크 주소(즉, 상기 프로브를 받은 주소)가 현재 이용중임을 표시하는 응답을 상기 개체에 전송하고, 그리고 상기 개체로 하여금 새로운 주소를 이용하도록 요청하기 위하여,
    상기 하드웨어 프로세서를 채용하는 것을 포함하는 것을 특징으로 하는 네트워크 조절기.
  2. 제1항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 라우터를 불능화(incapacitating)하는 것을 포함하는 것을 특징으로 하는 네트워크 조절기.
  3. 제1항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 라우터로 명령들의 세트를 전송하기 위하여 상기 하드웨어 프로세서를 채용하는 것을 포함하고,
    상기 명령들의 세트는 상기 라우터에 의하여 상기 명령들의 세트를 실행하는 것이 상기 네트워크 서비스의 중단을 유발하도록 구성되는 것을 특징으로 하는 네트워크 조절기.
  4. 제1항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 네트워크 서비스의 중단을 유발하기 위하여 상기 라우터의 설정 파라미터들의 세트를 조정하는 것을 포함하는 것을 특징으로 하는 네트워크 조절기.
  5. 제4항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 설정 파라미터들의 세트를 조정하기 위한 준비로서, 상기 라우터로 하여금 상기 설정 파라미터들의 세트의 조정을 가능하게 하는 설정 인터페이스를 노출하도록 하는 것과, 상기 설정 인터페이스의 필드들의 세트를 자동으로 채우는 것을 추가적으로 포함하는 것을 특징으로 하는 네트워크 조절기.
  6. 제4항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 설정 파라미터들의 세트를 조정하기 위한 준비로서, 상기 라우터의 설정 인터페이스로 로깅(logging) 하기 위한 사용자 크리덴셜(credential)의 세트를 원격 설정 서버로부터 수신하는 것을 추가적으로 포함하는 것을 특징으로 하는 네트워크 조절기.
  7. 제1항에 있어서,
    상기 네트워크 서비스를 인수하는 것은,
    i) 상기 라우터의 장치 유형을 자동으로 결정하는 것과(이때, 상기 장치 유형을 결정하는 것은 상기 라우터의 메이크(make), 상기 라우터의 모델, 상기 라우터에서 실행되는 소프트웨어의 버전으로 구성된 그룹으로부터 선택된 항목을 결정하는 것을 포함함),
    ii) 상기 라우터의 상기 장치 유형에 따라서 상기 네트워크 서비스를 인수하는 도중에 상기 네트워크 조절기에 의하여 실행되는 작업들의 시퀀스를 설정하는 것,
    을 포함하는 것을 특징으로 하는 네트워크 조절기.
  8. 제1항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 로컬 네트워크에 연결하려고 요청하는 복수의 가짜 장치(fictitious device)를 사칭하기 위하여 상기 하드웨어 프로세서를 채용하는 것을 포함하는 것을 특징으로 하는 네트워크 조절기.
  9. 삭제
  10. 제1항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 로컬 네트워크로의 게이트웨이로서 상기 네트워크 조절기를 설정하는 것을 포함하는 것을 특징으로 하는 네트워크 조절기.
  11. 제1항에 있어서,
    상기 요청의 표시자를 상기 보안 서버로 전송하는 것은 상기 보안 서버로의 요청을 리-라우팅하는 것을 포함하는 것을 특징으로 하는 네트워크 조절기.
  12. 제1항에 있어서,
    상기 요청은 하이퍼텍스트 전송 규약(HTTP) 요청을 포함하는 것을 특징으로 하는 네트워크 조절기.
  13. 제1항에 있어서,
    상기 하드웨어 프로세서는 상기 로컬 네트워크의 관리자가 상기 인수에 동의함을 나타내는 허가 표시자를 원격 설정 서버로부터 수신하는 것에 응답으로, 상기 네트워크 서비스의 자동 인수를 수행하도록 추가적으로 구성되는 것을 특징으로 하는 네트워크 조절기.
  14. 적어도 하나의 하드웨어 프로세서와 메모리를 포함하는 보안 서버로서,
    상기 적어도 하나의 하드웨어 프로세서는,
    i) 원격 네트워크에 연결된 클라이언트 시스템에 의한 상기 원격 네트워크 밖에 위치한 리소스에 접근하려는 요청의 표시자를 상기 원격 네트워크에 연결된 네트워크 조절기로부터 수신하도록 구성되고,
    ii) 상기 요청의 상기 표시자를 수신하는 것에 응답으로, 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하도록 구성되고,
    이때, 상기 네트워크 조절기는,
    i) 상기 원격 네트워크 상에서 상기 네트워크 조절기에 연결된 라우터로부터 네트워크 서비스를 자동으로 인수하도록 구성되고(이때, 상기 네트워크 서비스는 네트워크 주소들을 상기 원격 네트워크에 연결된 복수의 클라이언트 시스템에 할당함),
    ii) 상기 네트워크 서비스를 인수하는 것에 응답으로, 상기 요청을 인터셉트하도록 구성되고, 또한
    iii) 상기 요청을 인터셉트하는 것에 응답으로, 상기 요청의 상기 표시자를 상기 보안 서버에 전송하도록 구성되고,
    상기 네트워크 서비스를 인수하는 것은,
    i) 상기 원격 네트워크에 연결된 개체에 의해서 발송된 주소 이용가능성 프로브를 탐지하기 위하여(이때, 상기 개체는 상기 라우터와 상기 클라이언트 시스템으로 구성된 그룹으로부터 선택되고, 상기 주소 이용가능성 프로브는 상기 네트워크 조절기의 현재 네트워크 주소와는 구별되는 타겟 네트워크 주소로 발송됨), 그리고,
    ii) 상기 주소 이용가능성 프로브를 탐지하는 것의 응답으로, 프로브(질의)를 받은 주소가 이용가능한지 결정하기 위하여, 그리고
    iii) 상기 프로브(질의)를 받은 주소가 이용가능한지 결정하는 것의 응답으로, 상기 프로브를 받은 주소가 이용가능하다면 상기 프로브를 받은 주소를 할당하기 위하여, 그리고
    iv) 상기 프로브(질의)를 받은 주소가 이용가능한지 결정하는 것의 응답으로, 상기 프로브를 받은 주소가 이용가능하지 않다면, 상기 타겟 네트워크 주소(즉, 상기 프로브를 받은 주소)가 현재 이용중임을 표시하는 응답을 상기 개체에 전송하고, 그리고 상기 개체로 하여금 새로운 주소를 이용하도록 요청하기 위하여,
    상기 하드웨어 프로세서를 채용하는 것을 포함하는 것을 특징으로 하는, 보안 서버.
  15. 제14항에 있어서,
    상기 적어도 하나의 하드웨어 프로세서는,
    i) 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하는 것에 응답으로, 상기 리소스에 접근하는 것이 상기 보안 위협을 구성하지 않을 때, 상기 클라이언트 시스템이 상기 리소스에 접근하게 할 수 있도록 추가적으로 구성되고,
    ii) 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하는 것에 응답으로, 상기 리소스에 접근하는 것이 상기 보안 위협을 구성할 때, 상기 클라이언트 시스템이 상기 리소스에 접근하는 것을 방지하도록 추가적으로 구성되는 것을 특징으로 하는 보안 서버.
  16. 제14항에 있어서,
    상기 적어도 하나의 하드웨어 프로세서는,
    상기 리소스에 접근하는 것이 상기 컴퓨터 보안 위협을 구성하는지를 결정하는 것에 응답으로, 상기 리소스에 접근하는 것이 상기 보안 위협을 구성할 때, 상기 네트워크 조절기에 보안 통지를 전송하는 것을 특징으로 하는 보안 서버.
  17. 제14항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 라우터를 불능화하는 것을 포함하는 것을 특징으로 하는 보안 서버.
  18. 제14항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 라우터로 명령들의 세트를 전송하기 위하여 상기 네트워크 조절기를 채용하는 것을 포함하고,
    상기 명령들의 세트는 상기 라우터에 의하여 상기 명령들의 세트를 실행하는 것이 상기 네트워크 서비스의 중단을 유발하도록 구성되는 것을 특징으로 하는 보안 서버.
  19. 제14항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 네트워크 서비스의 중단을 유발하기 위하여 상기 라우터의 설정 파라미터들의 세트를 조정하기 위하여 상기 네트워크 조절기를 채용하는 것을 포함하는 것을 특징으로 하는 보안 서버.
  20. 제19항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 설정 파라미터들의 세트를 조정하기 위한 준비로서,
    상기 라우터로 하여금 상기 설정 파라미터들의 세트의 조정을 가능하게 하는 설정 인터페이스를 노출하도록 하는 것과, 상기 설정 인터페이스의 필드들의 세트를 자동으로 채우기 위하여 상기 네트워크 조절기를 채용하는 것을 추가적으로 포함하는 것을 특징으로 하는 보안 서버.
  21. 제19항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 설정 파라미터들의 세트를 조정하기 위한 준비로서, 상기 라우터의 설정 인터페이스로 로깅(logging) 하기 위한 사용자 크리덴셜의 세트를 원격 설정 서버로부터 수신하기 위하여 상기 네트워크 조절기를 채용하는 것을 추가적으로 포함하는 것을 특징으로 하는 보안 서버.
  22. 제14항에 있어서,
    상기 네트워크 서비스를 인수하는 것은,
    i) 상기 라우터의 장치 유형을 자동으로 결정하기 위하여 상기 네트워크 조절기를 채용하는 것과(이때, 상기 장치 유형을 결정하는 것은 상기 라우터의 메이크(make), 상기 라우터의 모델, 상기 라우터에서 실행되는 소프트웨어의 버전으로 구성된 그룹으로부터 선택된 항목을 결정하는 것을 포함함),
    ii) 상기 라우터의 상기 장치 유형에 따라서 상기 네트워크 서비스를 인수하는 도중에 상기 네트워크 조절기에 의하여 실행되는 작업들의 시퀀스를 설정하기 위하여 상기 네트워크 조절기를 채용하는 것,
    을 포함하는 것을 특징으로 하는 보안 서버.
  23. 제14항에 있어서,
    상기 네트워크 서비스를 인수하는 것은, 상기 원격 네트워크에 연결하려고 요청하는 복수의 가짜 장치(fictitious device)를 사칭하기 위하여 상기 네트워크 조절기를 채용하는 것을 포함하는 것을 특징으로 하는 보안 서버.
  24. 삭제
  25. 제14항에 있어서,
    상기 네트워크 서비스를 인수하는 것은 상기 원격 네트워크로의 게이트웨이로서 상기 네트워크 조절기를 설정하는 것을 포함하는 것을 특징으로 하는 보안 서버.
  26. 제15항에 있어서,
    상기 네트워크 조절기는 상기 보안 서버로의 요청을 리-라우팅하도록 구성되는 것을 특징으로 하는 보안 서버.
  27. 제14항에 있어서,
    상기 요청은 하이퍼텍스트 전송 규약(HTTP) 요청을 포함하는 것을 특징으로 하는 보안 서버.
  28. 제14항에 있어서,
    상기 네트워크 조절기는 상기 원격 네트워크의 관리자가 상기 인수에 동의함을 나타내는 허가 표시자를 원격 설정 서버로부터 수신하는 것에 응답으로, 상기 네트워크 서비스의 자동 인수를 수행하도록 추가적으로 구성되는 것을 특징으로 하는 보안 서버.
  29. 네트워크 조절기의 적어도 하나의 하드웨어 프로세서에 의하여 실행될 때 상기 네트워크 조절기로 하여금,
    i) 라우터로부터 네트워크 서비스를 자동으로 인수하도록 하고(이때, 상기 네트워크 조절기는 로컬 네트워크 상에서 상기 라우터에 연결되고, 상기 네트워크 서비스는 상기 로컬 네트워크에 연결된 복수의 클라이언트 시스템들에 네트워크 주소들을 할당하는 것을 포함함),
    ii) 상기 네트워크 서비스를 인수하는 것에 응답으로, 상기 로컬 네트워크 밖에 위치된 리소스에 접근하려는 상기 복수의 클라이언트 시스템들의 클라이언트 시스템에 의한 요청을 인터셉트하도록 하며, 그리고
    iii) 상기 요청을 인터셉트하는 것에 응답으로, 분석을 위하여 원격 보안 서버로 상기 요청의 표시자를 전송하도록 하는(이때, 상기 보안 서버는 상기 리소스에 접근하는 것이 상기 클라이언트 시스템에 컴퓨터 보안 위협을 구성하는지를 결정하도록 구성됨), 명령들을 저장하고,
    상기 네트워크 서비스를 인수하는 것은,
    i) 상기 로컬 네트워크에 연결된 개체에 의해서 발송된 주소 이용가능성 프로브를 탐지하기 위하여(이때, 상기 개체는 상기 라우터와 상기 클라이언트 시스템으로 구성된 그룹으로부터 선택되고, 상기 주소 이용가능성 프로브는 상기 네트워크 조절기의 현재 네트워크 주소와는 구별되는 타겟 네트워크 주소로 발송됨), 그리고,
    ii) 상기 주소 이용가능성 프로브를 탐지하는 것의 응답으로, 프로브(질의)를 받은 주소가 이용가능한지 결정하기 위하여, 그리고
    iii) 상기 프로브(질의)를 받은 주소가 이용가능한지 결정하는 것의 응답으로, 상기 프로브를 받은 주소가 이용가능하다면 상기 프로브를 받은 주소를 할당하기 위하여, 그리고
    iv) 상기 프로브(질의)를 받은 주소가 이용가능한지 결정하는 것의 응답으로, 상기 프로브를 받은 주소가 이용가능하지 않다면, 상기 타겟 네트워크 주소(즉, 상기 프로브를 받은 주소)가 현재 이용중임을 표시하는 응답을 상기 개체에 전송하고, 그리고 상기 개체로 하여금 새로운 주소를 이용하도록 요청하기 위하여,
    상기 하드웨어 프로세서를 채용하는 것을 포함하는 것을 특징으로 하는 비-일시적 컴퓨터 판독가능 매체(non-transitory computer-readable medium).
KR1020177015936A 2014-12-11 2015-12-11 네트워크 종점들을 보호하기 위한 시스템들 및 방법들 KR102145935B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201462090547P 2014-12-11 2014-12-11
US62/090,547 2014-12-11
US201562180390P 2015-06-16 2015-06-16
US62/180,390 2015-06-16
US201562217310P 2015-09-11 2015-09-11
US62/217,310 2015-09-11
PCT/RO2015/050011 WO2016093722A1 (en) 2014-12-11 2015-12-11 Systems and methods for securing network endpoints

Publications (2)

Publication Number Publication Date
KR20170095851A KR20170095851A (ko) 2017-08-23
KR102145935B1 true KR102145935B1 (ko) 2020-08-21

Family

ID=55411719

Family Applications (4)

Application Number Title Priority Date Filing Date
KR1020177015938A KR102137275B1 (ko) 2014-12-11 2015-12-11 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들
KR1020177015936A KR102145935B1 (ko) 2014-12-11 2015-12-11 네트워크 종점들을 보호하기 위한 시스템들 및 방법들
KR1020177015937A KR102146034B1 (ko) 2014-12-11 2015-12-11 네트워크 종점들의 보안 보호와 원격 관리를 위한 사용자 인터페이스
KR1020177015939A KR102137276B1 (ko) 2014-12-11 2015-12-11 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020177015938A KR102137275B1 (ko) 2014-12-11 2015-12-11 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들

Family Applications After (2)

Application Number Title Priority Date Filing Date
KR1020177015937A KR102146034B1 (ko) 2014-12-11 2015-12-11 네트워크 종점들의 보안 보호와 원격 관리를 위한 사용자 인터페이스
KR1020177015939A KR102137276B1 (ko) 2014-12-11 2015-12-11 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들

Country Status (12)

Country Link
US (6) US20160173450A1 (ko)
EP (3) EP3231155B1 (ko)
JP (5) JP2017537560A (ko)
KR (4) KR102137275B1 (ko)
CN (4) CN107005570B (ko)
AU (3) AU2015361315B2 (ko)
CA (4) CA2966725C (ko)
ES (2) ES2874557T3 (ko)
IL (4) IL252050B (ko)
RU (4) RU2694022C2 (ko)
SG (3) SG11201703820WA (ko)
WO (4) WO2016093721A1 (ko)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013162988A1 (en) 2012-04-25 2013-10-31 Corning Cable Systems Llc Distributed antenna system architectures
US8966074B1 (en) * 2013-09-13 2015-02-24 Network Kinetix, LLC System and method for real-time analysis of network traffic
US9584482B2 (en) * 2014-03-03 2017-02-28 Qualcomm Connected Experiences, Inc. Access control lists for private networks of system agnostic connected devices
RU2694022C2 (ru) 2014-12-11 2019-07-08 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Системы и способы автоматического обнаружения устройства, управления устройством и удаленной помощи
US10602216B2 (en) * 2015-01-30 2020-03-24 Arris Enterprises, Inc. Consolidated management of home network elements
US20160301570A1 (en) * 2015-04-10 2016-10-13 Bluecat Networks, Inc. Methods and systems for dhcp policy management
US20160299978A1 (en) * 2015-04-13 2016-10-13 Google Inc. Device dependent search experience
JP6582562B2 (ja) * 2015-05-29 2019-10-02 株式会社リコー 通信端末、通信システム、通信方法、及びプログラム
US10567518B2 (en) * 2015-06-26 2020-02-18 Western Digital Technologies, Inc. Automatic discovery and onboarding of electronic devices
US10237351B2 (en) * 2015-11-23 2019-03-19 Dojo-Labs Ltd Sub-networks based security method, apparatus and product
CN107172002B (zh) * 2016-03-07 2021-01-22 京东方科技集团股份有限公司 控制应用终端的网络连接的方法和装置
US10477398B2 (en) * 2016-09-16 2019-11-12 Samsung Electronics Co., Ltd. Method of providing secure access to hotel IoT services through mobile devices
US10460103B2 (en) 2016-09-20 2019-10-29 International Business Machines Corporation Security for devices connected to a network
US10264028B2 (en) * 2016-10-26 2019-04-16 Raytheon Company Central emulator device and method for distributed emulation
US10454961B2 (en) * 2016-11-02 2019-10-22 Cujo LLC Extracting encryption metadata and terminating malicious connections using machine learning
US10149230B2 (en) 2017-03-13 2018-12-04 International Business Machines Corporation Management of a blacklist for controlling a communication
US10333733B2 (en) * 2017-03-20 2019-06-25 Vmware, Inc. Controlling proxy devices through a managed gateway
US10972474B2 (en) 2017-04-18 2021-04-06 International Business Machines Corporation Logical zones for IoT devices
FR3066062A1 (fr) * 2017-05-05 2018-11-09 Orange Technique d'execution d'un service dans un reseau local a travers un reseau de communication etendu
US10805377B2 (en) * 2017-05-18 2020-10-13 Cisco Technology, Inc. Client device tracking
EP4009612A1 (en) * 2017-09-29 2022-06-08 InterDigital CE Patent Holdings Smart gateway enabled low cost smart building solution
US11823273B2 (en) * 2017-10-06 2023-11-21 BlueOwl, LLC System and method for preventing fraud in the capture of trip telemetry data
WO2019088671A1 (ko) * 2017-10-30 2019-05-09 성균관대학교 산학협력단 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
US11394701B2 (en) * 2017-11-01 2022-07-19 Hewlett-Packard Development Company, L.P. Non-compliance event notifications to companion devices
US10469600B2 (en) * 2017-11-14 2019-11-05 Dell Products, L.P. Local Proxy for service discovery
FR3074318B1 (fr) * 2017-11-24 2021-04-09 Sagemcom Broadband Sas Procede de gestion a distance d'un dispositif connecte a une passerelle residentielle
US10862862B2 (en) * 2017-11-30 2020-12-08 AVAST Software s.r.o. Identifying devices on a remote network
US11016772B2 (en) * 2017-12-22 2021-05-25 Exfo Inc. System and method for executing scripts in a virtual network function
US11082837B2 (en) 2018-01-05 2021-08-03 At&T Intellectual Property I, L.P. Drop-in probe that facilitates management and configuration of internet of things network connected devices
KR102485368B1 (ko) 2018-01-15 2023-01-05 삼성전자주식회사 전자 장치, 그 제어 방법 및 컴퓨터 판독가능 기록 매체
US11146590B2 (en) * 2018-04-19 2021-10-12 Ncr Corporation Omni-channel end-point security
US10594717B2 (en) * 2018-05-03 2020-03-17 Sophos Limited Context-dependent timeout for remote security services
US11122071B2 (en) * 2018-06-29 2021-09-14 Forescout Technologies, Inc. Visibility and scanning of a variety of entities
CN108471431B (zh) * 2018-07-10 2022-01-25 杭州任你说智能科技有限公司 一种家庭网络流量截获方法及家庭网络流量管理设备
JP7069399B2 (ja) * 2018-07-18 2022-05-17 ビットディフェンダー アイピーアール マネジメント リミテッド コンピュータセキュリティインシデントを報告するためのシステムおよび方法
CN109067933B (zh) * 2018-07-25 2021-12-24 赛尔网络有限公司 基于隧道的IPv4与IPv6的网络通信系统及方法
CN109104310A (zh) * 2018-08-02 2018-12-28 贵州中信宏业科技股份有限公司 一种it运维管理系统
US10812521B1 (en) * 2018-08-10 2020-10-20 Amazon Technologies, Inc. Security monitoring system for internet of things (IOT) device environments
US20200059474A1 (en) * 2018-08-17 2020-02-20 Schlumberger Technology Corporation System and method for control system cybersecurity
CN109285231A (zh) * 2018-08-22 2019-01-29 中国平安人寿保险股份有限公司 系统控制方法、装置、计算机装置及计算机可读存储介质
US10893018B2 (en) * 2018-09-10 2021-01-12 Level 3 Communications, Llc Systems and methods for automatic inventory and DNS record generation
US10749770B2 (en) 2018-10-10 2020-08-18 Cisco Technology, Inc. Classification of IoT devices based on their network traffic
US11102236B2 (en) * 2018-11-19 2021-08-24 Cisco Technology, Inc. Systems and methods for remediating internet of things devices
CN109450942B (zh) * 2018-12-25 2019-09-13 北京戴纳实验科技有限公司 一种实验室物联网管理系统的安全检测方法及其检测设备
US10862849B2 (en) * 2019-01-25 2020-12-08 Dell Products L.P. Address resolution system
CN110278181B (zh) * 2019-01-29 2021-09-17 广州金越软件技术有限公司 一种关于跨网数据交换的即时协议转换系统
CN111970178B (zh) * 2019-05-20 2022-06-14 青岛海尔电冰箱有限公司 家用电器的通信控制方法及系统
US11184384B2 (en) * 2019-06-13 2021-11-23 Bank Of America Corporation Information technology security assessment model for process flows and associated automated remediation
US11451570B1 (en) * 2019-06-27 2022-09-20 Kaseya Limited Computer system security scan
US11178261B1 (en) * 2019-08-23 2021-11-16 Fitbit, Inc. Device communication techniques
EP4035329A1 (en) * 2019-09-25 2022-08-03 Level 3 Communications, LLC Network cyber-security platform
RU2746101C2 (ru) * 2019-09-30 2021-04-07 Акционерное общество "Лаборатория Касперского" Система и способ определения устройств компьютерной сети с использованием правил инвентаризации
EP3799383A1 (en) * 2019-09-30 2021-03-31 AO Kaspersky Lab System and method for using inventory rules to identify devices of a computer network
US11784874B2 (en) 2019-10-31 2023-10-10 Juniper Networks, Inc. Bulk discovery of devices behind a network address translation device
US11159370B2 (en) 2019-10-31 2021-10-26 Juniper Networks, Inc. Bulk discovery of devices behind a network address translation device
US11265212B2 (en) * 2019-11-01 2022-03-01 Microsoft Technology Licensing, Llc Selectively throttling implementation of configuration changes in an enterprise
CN113286347A (zh) 2020-02-19 2021-08-20 摩点物联创意科技股份有限公司 无线网络建构方法
US11171923B1 (en) * 2020-06-11 2021-11-09 Movius Interactive Coporation Data analytics collection using VPN gateway
CN111756585A (zh) * 2020-07-15 2020-10-09 迈普通信技术股份有限公司 一种网点设备配置方法、路由器以及服务器
US11956639B2 (en) 2020-10-26 2024-04-09 International Business Machines Corporation Internet of things device provisioning
WO2022094098A1 (en) * 2020-10-30 2022-05-05 KnowBe4, Inc. Systems and methods for determination of level of security to apply to a group before display of user data
US11640276B2 (en) 2020-11-17 2023-05-02 Kyndryl, Inc. Mask device for a listening device
CN113259322B (zh) * 2021-04-19 2022-07-12 山东英信计算机技术有限公司 一种预防Web服务异常的方法、系统及介质
US11689421B2 (en) * 2021-04-19 2023-06-27 Hewlett Packard Enterprise Development Lp Selection of virtual private network profiles
US20230084349A1 (en) * 2021-09-14 2023-03-16 Comcast Cable Communications, Llc Network Restriction Circumvention Management
CN114244755B (zh) * 2021-12-15 2023-11-14 北京恒安嘉新安全技术有限公司 一种资产探测方法、装置、设备及存储介质
US11949696B2 (en) 2021-12-17 2024-04-02 Bank Of America Corporation Data security system with dynamic intervention response
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
EP4336803A1 (en) * 2022-09-08 2024-03-13 AO Kaspersky Lab System and method for providing security to iot devices

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080172476A1 (en) * 2007-01-17 2008-07-17 Microsoft Corporation Automatic configuration of client and server networking
US20120167160A1 (en) * 2010-12-27 2012-06-28 Verizon Patent And Licensing, Inc. Router policy system

Family Cites Families (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010030664A1 (en) * 1999-08-16 2001-10-18 Shulman Leo A. Method and apparatus for configuring icon interactivity
US7840652B2 (en) * 2001-03-21 2010-11-23 Ascentive Llc System and method for determining network configuration settings that provide optimal network performance
US7106739B2 (en) * 2001-06-27 2006-09-12 Intel Corporation Method enabling network address translation of incoming session initiation protocol connections based on dynamic host configuration protocol address assignments
US20030051172A1 (en) 2001-09-13 2003-03-13 Lordemann David A. Method and system for protecting digital objects distributed over a network
US20040066782A1 (en) * 2002-09-23 2004-04-08 Nassar Ayman Esam System, method and apparatus for sharing and optimizing packet services nodes
US20040153644A1 (en) * 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
US7457626B2 (en) 2004-03-19 2008-11-25 Microsoft Corporation Virtual private network structure reuse for mobile computing devices
KR20050101693A (ko) * 2004-04-19 2005-10-25 삼성전자주식회사 이동 네트워크에서 손상된 라우팅 경로 복구 방법
US7587753B2 (en) 2004-05-06 2009-09-08 At&T Intellectual Property, I, L.P. Methods, systems, and storage mediums for implementing issue notification and resolution activities
JP4319585B2 (ja) * 2004-06-16 2009-08-26 三菱電機株式会社 被害拡散防止システム及びパケット転送装置及びパケット収集分析装置及びプログラム
JP2006080789A (ja) * 2004-09-08 2006-03-23 Matsushita Electric Ind Co Ltd ネットワークシステム、その制御方法、およびアドレス付与サーバー
US7930409B2 (en) * 2005-02-23 2011-04-19 Aol Inc. Configuring output on a communication device
US7809811B1 (en) 2005-03-09 2010-10-05 Hewlett-Packard Development Company, L.P. System and method for operator network capable of problem determination and solution deployment
US7986947B2 (en) 2005-06-28 2011-07-26 Hewlett-Packard Development Company, L.P. Device management network with support for roaming
JP4818652B2 (ja) * 2005-07-22 2011-11-16 株式会社沖データ 端末管理システム
US20070153812A1 (en) * 2005-12-29 2007-07-05 John Kemp Dynamic discovery of a network service on a mobile device
WO2007117131A1 (en) * 2006-04-10 2007-10-18 Trust Integration Services B.V. Arrangement of and method for secure data transmission.
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
US8307444B1 (en) * 2006-06-12 2012-11-06 Redseal Networks, Inc. Methods and apparatus for determining network risk based upon incomplete network configuration data
CN101111053B (zh) * 2006-07-18 2010-12-01 中兴通讯股份有限公司 移动网络中防御网络攻击的系统和方法
JP2008046934A (ja) * 2006-08-17 2008-02-28 Toshiba Corp 家電機器ネットワークシステム
US7930644B2 (en) 2006-09-13 2011-04-19 Savant Systems, Llc Programming environment and metadata management for programmable multimedia controller
US8243611B2 (en) * 2006-12-04 2012-08-14 International Business Machines Corporation Method and system for configuring a device that has failed to obtain network address
WO2008082441A1 (en) * 2006-12-29 2008-07-10 Prodea Systems, Inc. Display inserts, overlays, and graphical user interfaces for multimedia systems
RU2331158C1 (ru) * 2007-01-31 2008-08-10 Военная академия связи Способ выбора безопасного маршрута в сети связи (варианты)
US7711900B2 (en) * 2007-03-05 2010-05-04 International Business Machines Corporation Method, system and program product for equitable sharing of a CAM table in a network switch in an on-demand environment
CN101123493B (zh) * 2007-09-20 2011-11-09 杭州华三通信技术有限公司 网络接入控制应用系统的安全检查方法及安全策略服务器
US8503460B2 (en) * 2008-03-24 2013-08-06 Qualcomm Incorporated Dynamic home network assignment
US8351928B2 (en) 2008-04-14 2013-01-08 Cisco Technology, Inc. Synchronizing DHCP and mobile IP messaging
WO2010019624A1 (en) * 2008-08-11 2010-02-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
FR2936387B1 (fr) * 2008-09-25 2016-01-08 Canon Kk Procede de gestion d'espaces d'adressage lors d'une ouverture d'un tunnel de communication, tete de tunnel, produit programme d'ordinateur et moyen de stockage correspondant.
CN102859934B (zh) * 2009-03-31 2016-05-11 考持·维 网络可接入计算机服务的接入管理和安全保护系统和方法
US8214494B1 (en) 2009-05-18 2012-07-03 Alarm.Com Incorporated Network device management technology
US20110029658A1 (en) 2009-07-24 2011-02-03 Theodore Werth System and methods for providing a multi-device, multi-service platform via a client agent
US20110126095A1 (en) * 2009-11-25 2011-05-26 T-Mobile USA, Inc Router Management via Touch-Sensitive Display
US9497092B2 (en) * 2009-12-08 2016-11-15 Hand Held Products, Inc. Remote device management interface
TW201126367A (en) * 2010-01-26 2011-08-01 Univ Nat Taiwan Science Tech Detection methods and devices of web mimicry attacks
US20110252153A1 (en) 2010-04-09 2011-10-13 Zvi Vlodavsky Securely providing session key information for user consent to remote management of a computer device
EP2567544A4 (en) 2010-05-06 2015-10-21 Ikanos Communications Inc METHOD AND SYSTEM FOR CONFIGURING AND MANAGING BROADBAND DIGITAL CONTROL AND CONTROL SYSTEMS
US8572677B2 (en) * 2010-07-14 2013-10-29 William G. Bartholomay Devices, systems, and methods for enabling reconfiguration of services supported by a network of devices
US8375118B2 (en) 2010-11-18 2013-02-12 Verizon Patent And Licensing Inc. Smart home device management
KR20120064916A (ko) * 2010-12-10 2012-06-20 주식회사 케이티 전화번호를 이용한 홈 네트워크 접근 제어 장치 및 그 방법과 그 시스템
US9270639B2 (en) * 2011-02-16 2016-02-23 Fortinet, Inc. Load balancing among a cluster of firewall security devices
US9197600B2 (en) * 2011-09-29 2015-11-24 Israel L'Heureux Smart router
US8381282B1 (en) * 2011-09-30 2013-02-19 Kaspersky Lab Zao Portable security device and methods for maintenance of authentication information
US20130198805A1 (en) 2012-01-24 2013-08-01 Matthew Strebe Methods and apparatus for managing network traffic
JP2013183405A (ja) 2012-03-05 2013-09-12 Toshiba Corp 情報処理装置及びクライアント管理方法
KR101453154B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
US9055090B2 (en) * 2012-06-12 2015-06-09 Verizon Patent And Licensing Inc. Network based device security and controls
US8892766B1 (en) 2012-06-28 2014-11-18 Trend Micro Incorporated Application-based network traffic redirection for cloud security service
US8539567B1 (en) 2012-09-22 2013-09-17 Nest Labs, Inc. Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers
RU2514137C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Способ автоматической настройки средства безопасности
CN103023871B (zh) * 2012-11-16 2015-05-20 华中科技大学 一种基于云平台的Android权限提升攻击检测系统和方法
CN103176882A (zh) * 2013-01-31 2013-06-26 晨风云(北京)科技有限公司 一种智能移动终端的网络应用程序接口监控方法及系统
US9742639B1 (en) * 2013-08-20 2017-08-22 Cavirin Systems, Inc. Intelligent network resource discovery and monitoring
US10917787B2 (en) * 2013-12-20 2021-02-09 Mcafee, Llc Security gateway for a regional/home network
US9319380B2 (en) * 2014-03-20 2016-04-19 Bitdefender IPR Management Ltd. Below-OS security solution for distributed network endpoints
CN106661227B (zh) * 2014-06-19 2022-07-22 英克伦股份有限公司 介电膜及其制造方法、显示器及其制造方法、组成物以及触控面板
CN104079575A (zh) * 2014-07-02 2014-10-01 北京奇虎科技有限公司 家庭网络安全管理方法、装置及系统
KR101703214B1 (ko) 2014-08-06 2017-02-06 주식회사 엘지화학 문자 데이터의 내용을 문자 데이터 송신자의 음성으로 출력하는 방법
US20160080425A1 (en) * 2014-09-16 2016-03-17 Francis Cianfrocca Content-Aware Firewalling, Policy Regulation, and Policy Management for Industrial Automation, Machine To Machine Communications, and Embedded Devices
US20160149948A1 (en) * 2014-09-25 2016-05-26 Cybersponse, Inc. Automated Cyber Threat Mitigation Coordinator
RU2694022C2 (ru) 2014-12-11 2019-07-08 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Системы и способы автоматического обнаружения устройства, управления устройством и удаленной помощи

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080172476A1 (en) * 2007-01-17 2008-07-17 Microsoft Corporation Automatic configuration of client and server networking
US20120167160A1 (en) * 2010-12-27 2012-06-28 Verizon Patent And Licensing, Inc. Router policy system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Jim Yuill 외 2인, "Using deception to hide things from hackers: Processes, principles, and techniques", Journal of Information Warfare (2006.01.)*

Also Published As

Publication number Publication date
AU2015361317B2 (en) 2019-06-06
EP3235218B1 (en) 2021-08-25
JP2018504024A (ja) 2018-02-08
JP6924246B2 (ja) 2021-08-25
KR102146034B1 (ko) 2020-08-21
JP6735021B2 (ja) 2020-08-05
CN107005565B (zh) 2020-11-03
IL252057B (en) 2021-01-31
ES2898099T3 (es) 2022-03-03
JP2017537562A (ja) 2017-12-14
US20160234231A1 (en) 2016-08-11
IL252048B (en) 2019-07-31
US20160234689A1 (en) 2016-08-11
EP3231155B1 (en) 2021-03-10
US20160173447A1 (en) 2016-06-16
JP2017537560A (ja) 2017-12-14
AU2015361316B2 (en) 2019-07-04
US10045217B2 (en) 2018-08-07
ES2874557T3 (es) 2021-11-05
US9936388B2 (en) 2018-04-03
WO2016093723A1 (en) 2016-06-16
AU2015361316A1 (en) 2017-05-25
KR20170095852A (ko) 2017-08-23
KR102137275B1 (ko) 2020-07-24
US20160173450A1 (en) 2016-06-16
RU2017122425A3 (ko) 2019-05-23
CA2966723A1 (en) 2016-06-16
CN107005566B (zh) 2020-09-08
US11706051B2 (en) 2023-07-18
CA2966725C (en) 2021-01-12
RU2017122956A3 (ko) 2019-05-21
RU2017122963A3 (ko) 2019-05-21
CA2966725A1 (en) 2016-06-16
CA2966727A1 (en) 2016-06-16
WO2016093724A1 (en) 2016-06-16
WO2016093721A1 (en) 2016-06-16
CN107005565A (zh) 2017-08-01
KR20170095853A (ko) 2017-08-23
JP6571776B2 (ja) 2019-09-04
CN107005570B (zh) 2020-12-18
EP3231155A1 (en) 2017-10-18
RU2691858C2 (ru) 2019-06-18
US10080138B2 (en) 2018-09-18
CN107113297B (zh) 2021-02-26
IL252057A0 (en) 2017-07-31
AU2015361315B2 (en) 2019-09-26
CA2966613A1 (en) 2016-06-16
JP2020039166A (ja) 2020-03-12
JP6619009B2 (ja) 2019-12-11
SG11201703820WA (en) 2017-06-29
RU2017122963A (ru) 2019-01-11
RU2017122956A (ru) 2019-01-11
WO2016093722A1 (en) 2016-06-16
KR20170095854A (ko) 2017-08-23
AU2015361317A1 (en) 2017-05-25
IL252048A0 (en) 2017-07-31
IL252050A0 (en) 2017-07-31
US10375572B2 (en) 2019-08-06
IL252054B (en) 2019-06-30
SG11201703815XA (en) 2017-06-29
IL252054A0 (en) 2017-07-31
WO2016093724A8 (en) 2017-05-26
RU2017122957A (ru) 2019-01-11
RU2697935C2 (ru) 2019-08-21
CA2966727C (en) 2023-06-13
CA2966613C (en) 2021-01-19
EP3231154A1 (en) 2017-10-18
AU2015361315A1 (en) 2017-05-25
SG11201703818RA (en) 2017-06-29
US20190021005A1 (en) 2019-01-17
JP2017537561A (ja) 2017-12-14
KR20170095851A (ko) 2017-08-23
KR102137276B1 (ko) 2020-07-24
CN107113297A (zh) 2017-08-29
CA2966723C (en) 2021-03-02
RU2017122957A3 (ko) 2019-05-21
CN107005570A (zh) 2017-08-01
RU2694022C2 (ru) 2019-07-08
US20180227762A1 (en) 2018-08-09
EP3235218A1 (en) 2017-10-25
CN107005566A (zh) 2017-08-01
RU2693922C2 (ru) 2019-07-05
RU2017122425A (ru) 2019-01-11
IL252050B (en) 2020-09-30

Similar Documents

Publication Publication Date Title
KR102145935B1 (ko) 네트워크 종점들을 보호하기 위한 시스템들 및 방법들
JP2017537562A5 (ko)
AU2015361318B2 (en) Systems and methods for automatic device detection, device management, and remote assistance
EP3231156B1 (en) Systems and methods for automatic device detection, device management, and remote assistance

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant