检测OSS存储的图片是否嵌入恶意内容

支持检测恶意内容嵌入的类型

当前内容安全支持以下两种恶意内容嵌入的类型。

类型一：嵌入视频片段

黑产通过图片嵌入了分片的视频片段，这些图片的分辨率普遍很低，但文件大小却有几百KB，且能够绕过大部分存储图片应用的文件限制。如果通过二进制方式打开该文件可发现该图片不是标准的PNG图片，它只有文件头信息是PNG，内容嵌入了其他资源。这些图片往往通过M3U8流式协议播放，流协议可以通过解析二进制字段内是否包含流信息来判断是否可以播放。

类型二：嵌入播放器代码

黑产通过图片中注入JS将违规视频文件上传到OSS或者CDN，再通过色情赌博等网站渠道传播URL，当用户访问该URL时，视频播放器根据JS判断出的浏览器类型，来决定显示的内容。这些图片往往在移动端和PC端显示的内容不一致，移动端访问对应图片URL地址时会解析成视频播放器，但PC访问对应图片URL时会跳转到不存在的文件或者返回错误，以此来规避常见的网页检查手段。

OSS存储被上传恶意图片后的风险

这些含有恶意内容的图片通常会被黑产用于传播，使得OSS存储空间流量被恶意盗刷，会出现高带宽或者大流量突发的情况，进而产生高于日常消费金额的账单。

OSS按量计费，其账单金额受计费周期和账单处理时延等因素的影响，无法做到账户余额为0的情况下立即停机，因而可能会出现欠费金额大于0，或者单条账单的欠费金额直接超出您的延期免停权益范围。

为降低这类风险，建议同时开启OSS安全的必要设置。具体内容，请参见降低因恶意访问流量导致大额资金损失的风险。

如何检测OSS存储的图片是否嵌入恶意内容

前提条件

• 已开通阿里云内容安全服务增强版。具体操作，请参见开通与收费。

• 已开通阿里云OSS对象存储并创建存储空间。具体操作，请参见开通OSS服务、控制台创建存储空间。

创建检测任务

1. 登录内容安全控制台，选择OSS违规检测普惠版 > 检测任务。

2. 创建检测任务（批量任务或者定时任务）。具体操作，请参见配置批量检测任务、配置定时检测任务。

   创建任务时，检测服务必须选择“OSS基线检测（OSS普惠版专用）。该类型具备恶意图片的识别能力，可通过时间和前缀来指定范围。

查看检测结果

当任务执行完成后，您可以通过控制台任务查看结果或者日志服务去查看返回标签label的值。

• 如果检测的结果返回标签label的值为fraud_videoAbuse，说明图片疑似有隐藏视频风险。

• 如果检测结果返回标签label的值为fraud_playerAbuse，说明图片疑似有隐藏播放器风险。

控制台最多可为您查询最近180天的检测结果，最多展示和导出50,000条数据。具体操作，请参见批量检测任务检测查询、定时检测任务结果查询。

您查询的全部检测结果会推送到日志服务中，日志服务提供查询分析和加工等功能，帮助您了解内容风险趋势并实时监测等。具体信息，请参见OSS违规检测结果日志存储。

以下为您展示日志查询出来的结果示例。

{
    "result":
    [
        {
            "confidence": 100.0,
            "label": "fraud_videoAbuse"// 图片疑似有隐藏视频风险.
        }
    ],
    "service": "oss_baselineCheck",
    "requestId": "IS19FC-XXXXXXXX-XXXXXX-XXXXX253B5B"
}

{
    "result":
    [
        {
            "confidence": 100.0,
            "label": "fraud_playerAbuse"// 图片疑似有隐藏播放器风险.
        }
    ],
    "service": "oss_baselineCheck",
    "requestId": "26BE877B-XXXXXXXX-XXXXXX-XXXXXFF2694BD"
}