网络安全防御的方法、装置、自助终端设备及存储介质与流程

1.本发明实施例涉及自助终端设备技术领域，特别涉及一种网络安全防御的方法、装置、自助终端设备及存储介质。


背景技术：

2.随着信息技术的发展，自助终端设备已经被广泛应用于各个领域，如金融、运输、医疗、移动通信、餐饮等。自助终端设备已成为日常办公、通讯交流和协作互动的必备工具，因此在自助终端设备向服务器端传输信息的过程中，如何保障用户信息的安全变得越来越重要。
3.自互联网出现以来，网络攻击者经常利用网络钓鱼发动攻击。随着网络边界及端点侧防护能力的逐步提升，攻击者也在不断开发新型技术点来绕过外围安全性检查和在线检测，从而实现网络钓鱼攻击。
4.目前，越来越多的攻击组织利用html smuggling（即html 走私）技术实现网络钓鱼攻击，一般的边界防护、流量检测和终端防护设备难以实现对此类攻击活动的拦截防御；其中，html smuggling是指浏览器根据html文件的内容在主机上创建恶意载荷，而不是直接转发/下载恶意软件的一种技术。
5.因此，及时发现利用html smuggling技术实现的攻击活动并对其成功阻断拦截，遏制其攻击行动对于维护网络安全至关重要。


技术实现要素：

6.为了能够对利用html smuggling技术实现的攻击活动进行有效防御，本发明实施例提供了一种网络安全防御的方法、装置、自助终端设备及存储介质。
7.第一方面，本发明实施例提供了一种网络安全防御的方法，应用于自助终端设备中，所述方法包括：对已知病毒进行特征提取，得到与所述已知病毒对应的病毒文件；其中，所述病毒文件用于表征自助终端设备被非法入侵，所述病毒文件包括用于指示所述病毒文件的安装路径的位置信息和用于表征病毒特征的病毒信息；将所述病毒文件中的病毒信息修改为安全信息，得到安全疫苗；将所述安全疫苗按照所述病毒文件的位置信息输入到所述自助终端设备中的对应位置；响应于接收到html文件，获取所述html文件的编码格式和与所述html文件对应的网络流量行为；其中，所述编码格式包括url编码、base64编码和hex编码；基于所述html文件的编码格式，利用训练好的解码模型对所述html文件进行解码；其中，所述解码模型是通过如下方式进行训练的：将已知的html文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练，得到解码模型；响应于所述html文件完成下载，基于所述网络流量行为和解码的结果，确定是否
对所述html文件进行拦截。
8.第二方面，本发明实施例还提供了一种网络安全防御的装置，应用于自助终端设备中，所述装置包括：特征提取模块，用于对已知病毒进行特征提取，得到与所述已知病毒对应的病毒文件；其中，所述病毒文件用于表征自助终端设备被非法入侵，所述病毒文件包括用于指示所述病毒文件的安装路径的位置信息和用于表征病毒特征的病毒信息；信息修改模块，用于将所述病毒文件中的病毒信息修改为安全信息，得到安全疫苗；输入模块，用于将所述安全疫苗按照所述病毒文件的位置信息输入到所述自助终端设备中的对应位置；获取模块，用于响应于接收到html文件，获取所述html文件的编码格式和与所述html文件对应的网络流量行为；其中，所述编码格式包括url编码、base64编码和hex编码；解码模块，用于基于所述html文件的编码格式，利用训练好的解码模型对所述html文件进行解码；其中，所述解码模型是通过如下方式进行训练的：将已知的html文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练，得到解码模型；确定模块，用于响应于所述html文件完成下载，基于所述网络流量行为和解码的结果，确定是否对所述html文件进行拦截。
9.第三方面，本发明实施例还提供了一种自助终端设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
10.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
11.本发明实施例提供了一种网络安全防御的方法、装置、自助终端设备及存储介质，首先对已知病毒进行特征提取来得到病毒文件，将将病毒文件中的病毒信息修改为安全信息来得到安全疫苗，并将安全疫苗按照病毒文件的位置信息输入到自助终端设备中的对应位置，从而可以有效保证自助终端设备的网络安全防御；然后响应于接收到html文件，获取html文件的编码格式和与html文件对应的网络流量行为；接着基于html文件的编码格式，利用训练好的解码模型对html文件进行解码；最后响应于html文件完成下载，基于网络流量行为和解码的结果，确定是否对html文件进行拦截。由于利用html smuggling技术实现的攻击活动是基于html5的下载属性，无需向服务器发送额外网络请求就可以“下载”数据，因此在html文件完成下载时，基于网络流量行为和解码的结果，确定是否对html文件进行拦截，从而可以对利用html smuggling技术实现的攻击活动进行有效防御。
附图说明
12.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据
这些附图获得其它的附图。
13.图1是本发明一实施例提供的一种网络安全防御的方法流程图；图2是本发明一实施例提供的一种自助终端设备的硬件架构图；图3是本发明一实施例提供的一种网络安全防御的装置结构图。
具体实施方式
14.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。
15.相关技术中，随着网络技术的发展，计算机病毒攻击方式和入侵手段日益增加，攻击者为避免安全软件检测和使用者轻松发现，大多采用隐匿化的技术来实现攻击，在终端侧很难发现异常情况，通过网络侧的流量特征进行检测可以发现一部分威胁，但是在没有特定规则时就难以防范。
16.常见的网络钓鱼攻击将攻击载荷直接放在附件文件中，通过邮件内容诱使受害者执行附件程序；随着网络安全的飞速发展，邮件安全越来越被重视，邮件网关对邮件整体内容都会进行检测，邮件网关会对电子邮件中附带的html进行检查。如果检查未通过，那么邮件网关会阻断电子邮件的后续转发或者选择删除附件。但是，现有的电子邮件安全解决方案难以通过静态分析或者动态分析来检测利用html smuggling技术实现的网络钓鱼活动。
17.apt攻击组织利用网络钓鱼发起攻击，利用html5和javascript的高度隐匿攻击手法，攻击者制作挟带恶意javascript的html网页，并发送含有附件的钓鱼信件，诱使用户点击并打开附件。
18.附件文件落地会绕过端点防护检测，用户执行html文件后，浏览器解码javascript、加载网页，下载释放恶意程序，并在用户设备上组合成恶意文件，如银行木马、僵尸网络、远控木马和勒索软件等；在解码释放恶意程序时，又无法通过网络侧行为监控检测到。一般情况下可以通过禁止javascript执行、禁止邮件中html类型的附件来实现防护，但在企业中业务往来繁多，肯定会影响正常办公业务。而且，受害者此时就会以为该文件通过了网络安全检测，无威胁，继续执行后续行为。因此，及时发现利用html smuggling技术的攻击活动并对其成功阻断拦截，遏制其攻击行动对于维护网络安全至关重要。
19.发明人在研发过程中发现：首先可以将基于已知病毒得到的安全疫苗输入到自助终端设备中，从而可以有效保证自助终端设备的网络安全防御；然后可以在html文件完成下载时，基于网络流量行为和解码的结果，确定是否对html文件进行拦截，从而可以对利用html smuggling技术实现的攻击活动进行有效防御。
20.下面介绍本说明实施例的发明构思。
21.请参考图1，本发明实施例提供了一种网络安全防御的方法，应用于自助终端设备中，该方法包括：步骤100：对已知病毒进行特征提取，得到与已知病毒对应的病毒文件；其中，病毒文件用于表征自助终端设备被非法入侵，病毒文件包括用于指示病毒文件的安装路径的位置信息和用于表征病毒特征的病毒信息；
步骤102：将病毒文件中的病毒信息修改为安全信息，得到安全疫苗；步骤104：将安全疫苗按照病毒文件的位置信息输入到自助终端设备中的对应位置；步骤106：响应于接收到html文件，获取html文件的编码格式和与html文件对应的网络流量行为；其中，编码格式包括url编码、base64编码和hex编码；步骤108：基于html文件的编码格式，利用训练好的解码模型对html文件进行解码；其中，解码模型是通过如下方式进行训练的：将已知的html文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练，得到解码模型；步骤110：响应于html文件完成下载，基于所述网络流量行为和解码的结果，确定是否对所述html文件进行拦截。
22.在本实施例中，首先对已知病毒进行特征提取来得到病毒文件，将将病毒文件中的病毒信息修改为安全信息来得到安全疫苗，并将安全疫苗按照病毒文件的位置信息输入到自助终端设备中的对应位置，从而可以有效保证自助终端设备的网络安全防御；然后响应于接收到html文件，获取html文件的编码格式和与html文件对应的网络流量行为；接着基于html文件的编码格式，利用训练好的解码模型对html文件进行解码；最后响应于html文件完成下载，基于网络流量行为和解码的结果，确定是否对html文件进行拦截。由于利用html smuggling技术实现的攻击活动是基于html5的下载属性，无需向服务器发送额外网络请求就可以“下载”数据，因此在html文件完成下载时，基于网络流量行为和解码的结果，确定是否对html文件进行拦截，从而可以对利用html smuggling技术实现的攻击活动进行有效防御。
23.下面描述图1所示的各个步骤的执行方式。
24.针对步骤100至104：需要说明的是，步骤100至104是针对已知病毒进行有效防御的，如此可以有效保证自助终端设备的网络安全防御。
25.可以理解的是，对已知病毒进行特征提取，可以通过使用沙箱或虚拟机来模拟运行病毒程序，通过api拦截或行为监控的方式分析程序运行时的动态行为特征，分析病毒在执行过程中的文件操作、网络操作、注册表操作、进程操作等。因此，通过对已知病毒进行分析并进行特征提取，可以得到用于表征自助终端设备被非法入侵的病毒文件。
26.举例来说，通过对bad rabbit这一病毒进行分析，可以知晓其动态行为过程为：bad rabbit在c:\windows\中释放infpub.dat文件，然后启动rundll32.exe这一进程，通过该进程将infpub.dat文件加载，加载运行之后，首先更改自助终端设备的主引导记录，然后对文件（例如office文件、txt文件和pdf文件等）进行加密。针对bad rabbit这一病毒，其病毒文件包括用于指示c:\windows\这一安装路径的位置信息和用于表征infpub.dat文件中的病毒特征的病毒信息，因此只需要掌握这两点就可以实现对bad rabbit的有效防御（即将infpub.dat文件中的病毒信息修改为安全信息，而后将修改后的infpub.dat文件投放到c:\windows\中）。
27.如此，当病毒进入自助终端设备中并调用安全疫苗后，由于安全疫苗中的病毒信息为安全信息，因此病毒在调用安全疫苗后，不会对自助终端设备进行感染，从而对病毒起到了提前防御和彻底防御的目的，进而实现了自助终端设备的网络安全防御。
28.针对步骤106：虽然自助终端设备中已经输入了针对已知病毒进行防御的安全疫苗，但是利用html smuggling技术实现网络钓鱼攻击，自助终端设备很难进行有效防御。
29.在本说明书一个实施例中，编码格式包括url编码、base64编码和hex编码。
30.在本实施例中，通过获取html文件的编码格式，可以利用解码模型对html文件进行解码，以得到解码的结果。其中，解码的结果为文件可读和文件不可读。正常的html文件通过解码后，其结果为文件可读；相反地，利用了html smuggling技术的html文件通过解码后，其结果为文件不可读（或混淆）。这样，就可以基于该解码的结果来辅助判断后续是否对html文件进行拦截。在此，本说明书实施例对html的编码格式不进行具体限定。
31.在本说明书一个实施例中，网络流量行为包括无向外网络请求行为和有向外网络请求行为。
32.在本实施例中，由于正常的html是需要网络侧具有向外网络请求行为，这样html文件的下载行为才是正常的下载行为，即网络请求下载；而利用了html smuggling技术的html文件是不需要网络侧具有向外网络请求行为（即无向外网络请求行为），这样html文件的下载行为不是正常的下载行为，即本地释放下载（即浏览器解码javascript、加载网页，下载释放恶意程序，并在用户设备上组合成恶意文件）。因此，通过监测网络侧的网络流量行为，可以辅助判断后续是否对html文件进行拦截。
33.需要说明的是，接收到html文件，可以通过邮件附件的方式或其它方式，在此对接收html文件的方式不进行具体限定。
34.针对步骤108：在本说明书一个实施例中，解码模型是通过如下方式进行训练的：将已知的html文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练，得到解码模型。
35.在本实施例中，通过利用神经网络模型进行训练得到解码模型的方式可以增加解码模型的适应度，即可以使得解码模型能够应对未知编码格式的html文件。
36.通常而言，解码模型对html文件通过一至两层的解码后即可得到解码结果，即文件可读和文件不可读。
37.当然，解码模型也可以利用已有传统的解码器实现，在此对解码模型的具体类型不进行限定。
38.针对步骤110：在本说明书一个实施例中，步骤104具体可以包括：步骤a、基于网络流量行为和解码的结果，确定html文件的下载行为；步骤b、基于html文件的下载行为，确定是否对html文件进行拦截。
39.在本实施例中，在html文件完成下载时，其下载行为难以确定出是正常下载行为还是利用了html smuggling技术实现的行为，因此需要借助网络流量行为和解码的结果来判断；而在判断出该html文件的下载行为后，就可以确定是否对html文件进行拦截，从而可以对利用html smuggling技术实现的攻击活动进行有效防御。
40.在本说明书一个实施例中，步骤a具体可以包括：在网络流量行为为无向外网络请求行为且解码的结果为文件不可读时，确定html
文件的下载行为为本地释放下载；在网络流量行为为有向外网络请求行为且解码的结果为文件可读时，确定html文件的下载行为为网络请求下载。
41.在本实施例中，由上文分析可知，本地释放下载即为利用了html smuggling技术的下载，因此其网络流量行为为无向外网络请求行为，而且其解码的结果为文件不可读；相反地，网络请求下载即为正常下载，因此其网络流量行为为有向外网络请求行为，而且其解码的结果为文件可读。
42.在本说明书一个实施例中，步骤b具体可以包括：在html文件的下载行为为本地释放下载时，将html文件进行拦截；在html文件的下载行为为网络请求下载时，不对html文件进行拦截。
43.在本实施例中，在html文件的下载行为为本地释放下载时，将html文件进行拦截，如此可以对利用html smuggling技术实现的攻击活动进行有效防御；而在html文件的下载行为为网络请求下载时，不对html文件进行拦截。当然，在html文件的下载行为为本地释放下载时，还可以向外发出告警信号，从而可以避免造成不可控的网络安全事件。
44.下面介绍上述网路安全防御方法的具体场景。
45.在计算机接收邮件附件或通过其他方式接收html文件时，第一时间就对该html文件进行监测，监测范围包括终端侧的html文件的编码格式和网络侧的网络流量行为；将目前行业中应用于html文件的编码格式进行整理，使用人工神经网络进行建模训练，得到训练好的解码模型，解码模型通过对该html文件进行一至两层的解码后得到解码的结果。在html文件完成下载时，如果网络侧的网络流量行为为无向外网络请求行为且解码的结果为文件不可读时，则可以确定该html文件的下载行为为本地释放下载，此时需要对该html文件进行拦截，并发出告警信号；如果网络侧的网络流量行为为有向外网络请求行为且解码的结果为文件可读时，则可以确定该html文件的下载行为为网络请求下载，则不对该html文件进行拦截，并将该html文件的相关数据重新纳入人工神经网络，继续学习并不断扩大解码模型。
46.因此，在计算机接收邮件或通过其他方式接收html文件时，通过监测其主机侧和网络侧的相关行为，并联动人工神经网络模型检测，判断是否利用html smuggling技术来绕过外围安全性检查和在线检测，从而实现对非法html文件的阻断拦截，进而防御对利用html smuggling技术实现的攻击活动进行有效防御。
47.需要说明的是，在html文件的下载行为为本地释放下载时，除了可以将html文件进行拦截，还可以对自助终端设备进行屏幕录制，以后续对非法html文件进行有效分析。
48.在本说明书的一个实施例中，还包括：在html文件的下载行为为本地释放下载时，对自助终端设备进行屏幕录制；对经屏幕录制得到的视频文件进行加密；将加密后的视频文件上传至服务器，以利用服务器对所述视频文件进行分析。
49.在本实施例中，在html文件的下载行为为本地释放下载时，通过对自助终端设备进行屏幕录制，然后对经屏幕录制得到的视频文件进行加密，再将加密后的视频文件上传至服务器，以利用服务器对视频文件进行播放，从而通过录屏的方式可以有效记录非安全行为（即本地释放下载的行为），并为后续的样本分析提供了有价值的信息参考。
50.在本说明书的一个实施例中，步骤“对自助终端设备进行屏幕录制”具体可以包括：将病毒在自助终端设备的后台非安全行为展示到自助终端设备的前台，以进行屏幕录制。
51.在本实施例中，为了可以在自助终端设备的后台非安全行为进行录屏，例如在杀毒软件监测到自助终端设备存在病毒时，可以跟踪该病毒，并将该病毒在后台非安全行为展示（或运行）到前台。
52.举例来说，在杀毒软件监测到病毒在后台修改配置文件时，自助终端设备可以在其前台打开该配置文件，从而可以方便进行屏幕录制。
53.在本说明书的一个实施例中，在所述对所述自助终端设备进行屏幕录制之后和在所述对经屏幕录制得到的视频文件进行加密之前，具体还可以包括：响应于达到在开启屏幕录制后的第一预设时长，结束屏幕录制。
54.在本实施例中，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在达到在开启屏幕录制后的第一预设时长，结束屏幕录制。
55.在一些实施方式中，第一预设时长可以是1、2或3小时，在此对第一预设时长的具体数值不进行限定。
56.在本说明书的一个实施例中，在所述对所述自助终端设备进行屏幕录制之后和在所述对经屏幕录制得到的视频文件进行加密之前，具体还可以包括：响应于达到在开启屏幕录制后的第二预设时长且在第二预设时长内未监测到自助终端设备对非安全行为的弹窗提示，结束屏幕录制。
57.在本实施例中，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在达到在开启屏幕录制后的第二预设时长且在第二预设时长内未监测到自助终端设备对非安全行为的弹窗提示，结束屏幕录制。
58.通常而言，杀毒软件在监测到病毒之后，为了防止病毒入侵自助终端设备，杀毒软件会优先杀死病毒，以阻止病毒产生后续的非安全行为。但是，病毒一般不会只发起一次攻击，而是会发起多次攻击，其中每次攻击自助终端设备的位置也有所不同。因此，需要在达到在开启屏幕录制后的第二预设时长且在第二预设时长内未监测到自助终端设备对非安全行为的弹窗提示时，才结束屏幕录制。
59.需要说明的是，虽然杀毒软件会杀死病毒，但是杀毒软件仍然可以得到该病毒在攻击自助终端设备时所处的位置和病毒想要进行的操作（不过该操作可能在执行过程中被杀毒软件阻止）。也就是说，杀毒软件虽然杀死了病毒，但是也会录制到该病毒的非安全行为。
60.在一些实施方式中，第二预设时长可以是1、2或3小时，在此对第一预设时长的具体数值不进行限定。
61.在本说明书的一个实施例中，在所述对所述自助终端设备进行屏幕录制之后和在所述对经屏幕录制得到的视频文件进行加密之前，具体还可以包括：响应于经屏幕录制得到的视频文件的存储容量达到预设阈值，结束屏幕录制。
62.在本实施例中，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在经屏幕录制得到的视频文件的存储容量达到预设阈值，结束屏幕录制。
63.在一些实施方式中，预设阈值可以是100、200或300m，在此对预设阈值的具体数值不进行限定。
64.在本说明书的一个实施例中，所述对经屏幕录制得到的视频文件进行加密，具体可以包括：针对经屏幕录制得到的视频文件中的每一个视频帧，对当前视频帧中的桌面信息和/或通过鼠标点击打开的文件信息进行遮蔽处理；将经遮蔽处理得到的视频文件进行加密。
65.在本实施例中，由于经录屏得到的视频文件可能会涉及到隐私的文件信息，为了避免隐私泄露，在得到视频文件后，可以对视频文件中的每一个视频帧的关键信息（即桌面信息和/或通过鼠标点击打开的文件信息）进行遮蔽处理，从而可以只保留非安全行为的视频帧。
66.在一些实施方式中，遮蔽处理包括马赛克和/或添加图层处理。
67.需要说明的是，由于非安全行为一般没有鼠标光标，而用户操作有鼠标光标，因此文件信息在该场景中可以指的是通过鼠标点击打开的文件信息。也就是说，未通过鼠标点击打开的文件信息的行为即为非安全行为。
68.在本说明书的一个实施例中，所述对经屏幕录制得到的视频文件进行加密，具体可以包括：针对经屏幕录制得到的视频文件中的每一个视频帧，将含有鼠标光标的视频帧进行二次处理；其中，二次处理包括删除处理和/或加密处理；将经二次处理得到的视频文件进行加密。
69.在本实施例中，如前所述，由于非安全行为一般没有鼠标光标，而用户操作有鼠标光标，因此可以将用户操作对应的视频帧进行删除处理和/或加密处理，以避免隐私泄露，从而可以只保留非安全行为的视频帧。
70.在本说明书的一个实施例中，在所述对经屏幕录制得到的视频文件进行加密之后和在所述将加密后的视频文件上传至服务器之前，具体还可以包括：将加密后的视频文件进行格式转换，得到目标视频文件；其中，目标视频文件的格式不包括影音格式；步骤110具体可以包括：将目标视频文件上传至服务器。
71.在本实施例中，考虑到录制后的视频文件可能会被病毒识别并删除，因此可以将录制且加密后的文件的格式转换为非常规的影音格式，这样就可以使得病毒不会对视频文件删除，而服务器也可以利用事先约定好的格式转换协议将接收到的目标视频文件进行解码和解密，从而实现目标视频文件的正常播放。
72.其中，常规的影音格式包括但不限于avi、wmv、mpeg、mp4、m4v、mov、asf、flv、f4v、rmvb、rm、3gp、vob等。
73.服务器在接收到经加密和格式转换后的目标视频文件，就可以根据自助终端设备和服务器事先预定好的解码和解密规则，来对目标视频文件进行解码和解密，这样在自助终端设备录制得到的视频文件就可以在服务器上正常播放，以为后续的病毒分析提供了有价值的信息参考。
74.如图2和图3所示，本发明实施例提供了一种网络安全防御的装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图2所示，为本发明实施例提供的一种网络安全防御的装置所在自助终端设备的一种硬件架构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的自助终端设备通常还可以包括其它硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图3所示，作为一个逻辑意义上的装置，是通过其所在自助终端设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
75.如图3所示，本实施例提供的一种网络安全防御的装置，应用于自助终端设备中，所述装置包括：特征提取模块300，用于对已知病毒进行特征提取，得到与所述已知病毒对应的病毒文件；其中，所述病毒文件用于表征自助终端设备被非法入侵，所述病毒文件包括用于指示所述病毒文件的安装路径的位置信息和用于表征病毒特征的病毒信息；信息修改模块302，用于将所述病毒文件中的病毒信息修改为安全信息，得到安全疫苗；输入模块304，用于将所述安全疫苗按照所述病毒文件的位置信息输入到所述自助终端设备中的对应位置；获取模块306，用于响应于接收到html文件，获取所述html文件的编码格式和与所述html文件对应的网络流量行为；其中，所述编码格式包括url编码、base64编码和hex编码；解码模块308，用于基于所述html文件的编码格式，利用训练好的解码模型对所述html文件进行解码；其中，所述解码模型是通过如下方式进行训练的：将已知的html文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练，得到解码模型；确定模块310，用于响应于所述html文件完成下载，基于所述网络流量行为和解码的结果，确定是否对所述html文件进行拦截。
76.在本发明实施例中，特征提取模块300可用于执行上述方法实施例中的步骤100，信息修改模块302可用于执行上述方法实施例中的步骤102，输入模块304可用于执行上述方法实施例中的步骤104，获取模块306可用于执行上述方法实施例中的步骤106，解码模块308可用于执行上述方法实施例中的步骤108，确定模块310可用于执行上述方法实施例中的步骤110。
77.在本发明的一个实施例中，所述确定模块，用于执行如下操作：基于所述网络流量行为和解码的结果，确定所述html文件的下载行为；其中，所述网络流量行为包括无向外网络请求行为和有向外网络请求行为，所述解码的结果包括文件可读和文件不可读；基于所述html文件的下载行为，确定是否对所述html文件进行拦截。
78.在本发明的一个实施例中，所述确定模块在执行所述基于所述网络流量行为和解码的结果，确定所述html文件的下载行为时，用于执行如下操作：在所述网络流量行为为无向外网络请求行为且所述解码的结果为文件不可读时，确定所述html文件的下载行为为本地释放下载；
在所述网络流量行为为有向外网络请求行为且所述解码的结果为文件可读时，确定所述html文件的下载行为为网络请求下载。
79.在本发明的一个实施例中，还包括：屏幕录制模块，用于在所述html文件的下载行为为本地释放下载时，对所述自助终端设备进行屏幕录制；加密模块，用于对经屏幕录制得到的视频文件进行加密；上传模块，用于将加密后的视频文件上传至服务器，以利用所述服务器对所述视频文件进行分析。
80.在本发明的一个实施例中，还包括：结束屏幕录制模块，用于执行如下操作：响应于达到在开启屏幕录制后的第一预设时长，结束屏幕录制；和/或，响应于达到在开启屏幕录制后的第二预设时长且在所述第二预设时长内未监测到所述自助终端设备对非安全行为的弹窗提示，结束屏幕录制；和/或，响应于经屏幕录制得到的视频文件的存储容量达到预设阈值，结束屏幕录制。
81.在本发明的一个实施例中，所述加密模块，用于执行如下操作：针对经屏幕录制得到的视频文件中的每一个视频帧，对当前视频帧中的桌面信息和/或通过鼠标点击打开的文件信息进行遮蔽处理；将经遮蔽处理得到的视频文件进行加密；和/或，针对经屏幕录制得到的视频文件中的每一个视频帧，将含有鼠标光标的视频帧进行二次处理；其中，所述二次处理包括删除处理和/或加密处理；将经二次处理得到的视频文件进行加密。
82.在本发明的一个实施例中，还包括：格式转换模块，用于将加密后的视频文件进行格式转换，得到目标视频文件；其中，所述目标视频文件的格式不包括影音格式；所述上传模块，用于执行如下操作：将所述目标视频文件上传至服务器。
83.可以理解的是，本发明实施例示意的结构并不构成对一种网络安全防御的装置的具体限定。在本发明的另一些实施例中，一种网络安全防御的装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
84.上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
85.本发明实施例还提供了一种自助终端设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种网络安全防御的方法。
86.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种网络安全防御的方法。
87.具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机（或cpu或mpu）读出并执行存储在存储介质中的程序代码。
88.在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
89.用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘（如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd+rw）、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
90.此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
91.此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
92.需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
93.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
94.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。