病毒检测-云备份(Cloud Backup)-阿里云帮助中心

功能介绍

云备份是对您生产环境中数据的定期备份，如果您生产环境中的数据被病毒污染，备份库中相应的数据也将携带病毒。当您需要恢复备份库的数据到生产环境时，如果用于恢复的文件已感染了病毒，恢复后将对生产环境产生二次污染，对灾难恢复的时效性造成极大的影响，给业务带来更大的损失。云备份提供备份点病毒检测功能，来帮助您选取干净安全的备份点进行数据恢复。通过该功能，您可以进行：

基于备份策略的自动检测：在设置备份策略时，开启备份点病毒检测功能，云备份将在每次定时备份后自动完成备份数据病毒检测。通过此方式，您可以了解每个备份点中的备份文件风险情况，在需要数据恢复时可以高效地选取安全的文件进行恢复。
按需手动检测：您可以根据具体的业务需求，在备份历史中选取一个特定的备份点进行病毒检测，或在病毒检测页面创建备份点病毒检测任务，或使用恢复时进行病毒检测功能。

在检测后如果云备份发现备份点存在病毒文件，将会对该备份点进行风险标记。在浏览备份点时，您可以看到备份点中的备份文件的具体风险情况。

支持范围和使用限制

备份点病毒检测功能支持的数据源包括ECS文件备份（新版）、本地文件备份（新版）、OSS备份、阿里云NAS备份和本地NAS备份。
备份点病毒检测功能仅能够检测单个不超过100 MB大小的备份文件。当单个备份文件大小大于100 MB时，将跳过检测，您可以通过下载“无法检测的文件列表”进行查看具体备份文件信息。
支持地域：请参考地域支持的功能特性。

支持检测病毒类型

云备份的备份点病毒检测功能支持对以下病毒类型（virus_type）进行检测。

virus_type	病毒名称
Backdoor	反弹Shell后门
DDoS	DDoS木马
Downloader	下载器木马
Engtest	引擎测试程序
Hacktool	黑客工具
Trojan	高危程序
Malbaseware	被污染的基础软件
MalScript	恶意脚本
Malware	恶意程序
Miner	挖矿程序
Proxytool	代理工具
RansomWare	勒索病毒
RiskWare	风险软件
Rootkit	Rootkit
Stealer	窃密工具
Scanner	扫描器
Suspicious	可疑程序
Virus	感染型病毒
WebShell	网站后门
Worm	蠕虫病毒
AdWare	广告程序
Patcher	破解程序
Gametool	私服工具

注意事项

备份库中归档层备份恢复点不支持备份点病毒检测。
在复制库备份场景中，对复制目标备份库中的备份点不支持基于备份策略的自动检测，但支持按需手动检测。如果备份点中的文件在源端进行了病毒检测，则相应的检测结果会展示在目标端的同一备份点及文件上，您无需进行二次检测。如果您需要了解按需进行病毒检测的更多信息，请参见备份数据按需手动检测。
备份策略中开启备份点病毒检测后，对第一个备份点会进行全量病毒检测，对后续的备份点进行增量备份的病毒检测。
备份点病毒检测任务一旦开始执行，无法中途取消。

工作原理

病毒检测功能和备份服务无缝集成，您不需要部署任何服务或客户端即可完成备份数据病毒检测。

基于备份策略的自动检测

在备份策略中开启备份点病毒检测功能后，备份服务后台将会在每次定时备份完成后自动对备份点进行病毒检测，病毒检测所需时间取决于检测的文件数。

病毒检测遵循以下逻辑：
- 首次检测：对备份链路中的第一个备份点进行全量病毒检测。
- 后续检测：对比上一个备份点，仅对新增或变化的文件进行增量病毒检测。
示例：
- 对备份点1，检测10000个文件（全量）。
- 对备份点2，仅检测基于备份点1新增的2000个文件和变化的1000个文件（共3000个增量文件）。
- 对备份点3，仅检测基于备份点2变化的2000个文件（增量）。

按需手动检测

按需手动检测的具体方式包括：
- 在备份历史中，选择一个备份点进行手动病毒检测。
- 在备份历史中，选择某个备份点创建恢复任务，同时开启恢复时进行病毒检测功能进行病毒检测。
- 在恢复任务页面，选择一个备份库或者复制目标备份库的某个备份点创建恢复任务，同时开启恢复时进行病毒检测功能进行病毒检测。
- 在病毒检测页面，选择一个备份库或者复制目标备份库的某个备份点进行手动病毒检测。
- 在病毒检测页面，如果一个备份库或者复制目标备份库的某个备份点被病毒感染后，可以通过使用查找安全版本恢复，选择其他的备份点进行病毒检测以选择安全版本进行恢复。
按需手动检测特性：
- 每一个备份点的检测相互独立，不会继承同一个备份链路中其他备份点的检测结果，可能会出现不同备份点被检测多次的结果。
- 对同一个备份点进行多次按需手动检测时，同一个文件只会被检测一次，并且多次检测结果会自动进行合并。
示例：
- 针对备份点1：
  - /A目录下包含10000个文件，/A/B目录下包含4000个文件。
  - 第一次仅检测/A/B目录，检测4000个文件。
  - 第二次检测/A目录时，自动跳过已检测的/A/B目录，仅检测剩余的10000-4000=6000个文件。
- 针对备份点2：如果对全部文件进行按需病毒检测，则会对9000+1000+2000=12000个文件进行病毒检测。
- 针对备份点3：如果对全部文件进行按需病毒检测，则会对1000+2000=3000个文件进行病毒检测。

操作入口

这里以ECS文件的操作为例，对备份点病毒检测功能的操作入口进行说明。

基于备份策略的自动检测

在设置备份策略时，您可以开启备份点病毒检测功能，在每次备份完成后自动完成备份数据病毒检测。

关于如何创建备份策略，请参见策略中心。

在新建策略页面右侧备份数据管理区域的数据安全部分，开启备份点病毒检测开关。

按需手动检测

在备份历史中，您可以选择某个备份点进行手动病毒检测，实现针对特定的备份点完成备份数据病毒检测。

单击病毒检测，您可选择对包括所有文件、包含指定文件或排除指定文件进行病毒检测。这些规则互斥，同时只能有一个生效。

备份点病毒检测是收费功能，根据检测的文件数进行收费，参见价格详情。
在备份历史中，选择某个备份点创建恢复任务，开启恢复时进行病毒检测功能进行病毒检测。
在弹出的备份详情浮窗底部，单击恢复。

在创建恢复任务页面中，找到恢复时检测病毒开关并开启。

开启恢复时进行病毒检测功能后，云备份在恢复时会对所有待恢复的文件进行病毒检测，即边检测边恢复。
说明

对本次检测为安全的文件，云备份将直接恢复。

对本次检测为病毒的文件，云备份将不恢复病毒文件。

建议您前往病毒检测页面查看风险文件，并查找安全版本进行恢复。
在恢复任务页面，单击创建恢复任务，选择一个备份库或者复制目标备份库的某个备份点，同时开启恢复时进行病毒检测功能进行病毒检测。

在 选择源实例 步骤中，选择 备份库 后，在下方客户端列表中选择要恢复的备份来自哪个客户端。

开启后，安全文件将直接恢复，病毒文件不恢复，建议前往病毒检测页面查看风险文件。备份点病毒检测为收费功能。
在病毒检测页面，单击备份点病毒检测，选择一个备份库或者复制目标备份库的某个备份点进行手动病毒检测。
1. 在选择源实例页签，选择要检测的备份库，选择要检测的备份来自哪个客户端。然后单击下一步。
2. 在选择备份页签，选择要检测的备份点。然后单击下一步。
  
  备份点病毒检测为收费功能，请注意相关费用。
3. 在选择检测文件页签，您可选择对包括所有文件、包含指定文件或排除指定文件进行病毒检测。这些规则互斥，同时只能有一个生效。最后完成确定。
  
  备份点病毒检测是收费功能，根据检测的文件数进行收费，具体参见价格详情。您也可以前往备份计划页面，直接选择某个备份点进行病毒检测。
在病毒检测页面，如果一个备份库或者复制目标备份库的某个备份点被病毒感染后，可以通过使用查找安全版本恢复，选择其他的备份点进行病毒检测以选择安全版本进行恢复。
查找安全版本恢复
1. 在病毒检测页签，单击目标ECS操作列的查找安全版本恢复。
2. 在选择查找的文件页签，选择需要查找其安全版本的风险文件，然后单击下一步。
  
  风险文件列表包含文件名称、MD5、威胁标签、风险等级和最近一次检测时间列。备份点病毒检测为收费功能。
3. 在选择查找的备份点页签，选择用于查找安全版本进行恢复的备份点（即未被病毒感染的原文件的备份点），然后单击确定。
  
  备份点病毒检测为收费功能，检测1000个文件约USD 0.229。提交后可在恢复任务页面查看安全版本查找状态。
恢复任务创建后，您可以在恢复任务页签的状态栏查看安全版本状态。
- 状态为无安全版本，更换合适的备份点查询安全版本。
- 状态为有安全版本，您可以单击目标ECS操作列的 ⋮ > 恢复安全版本。具体操作，请参见恢复安全版本。
恢复安全版本
1. 单击目标ECS操作列的 ⋮ > 恢复安全版本。
2. 在选择备份页签，您可以选择一个有安全版本的备份点进行恢复。然后单击下一步。
  
  备份列表包含 备份ID、完成时间 和 是否有安全版本 列。
3. 在选择恢复项目页签，然后单击下一步。
  
  页面提示已在指定备份点中成功找到包含指定风险文件的安全版本，可选择一个安全版本进行恢复。下方显示将恢复的文件信息，包括文件名称（如 /yanglin/1f1fb4c64fa1f758d59c33ae8f08a646）、风险等级（高危）和威胁标签（挖矿程序）。
4. 在恢复目的地页签，选择要恢复的目的地，然后单击下一步。
  
  将目的地类型选择为ECS客户端 (新版)，在下方客户端列表中选择一个状态为已激活的目标客户端。
5. 在恢复路径页签，您可以指定路径进行恢复，或在原路径恢复，然后单击开始恢复。
  
  当恢复路径存在同名文件时，可选择跳过此文件、覆盖恢复路径同名文件或比较更新时间保留最新版本。请确保恢复路径存在，否则恢复任务失败。
6. 在恢复任务页签，您可查看任务的恢复状态。当状态为完成时，表示恢复成功。

备份点的病毒检测状态说明

如果云备份服务在病毒检测过程中发现某个备份点包含病毒文件，该备份点将被标记为风险状态。您在浏览备份点时，可查看具体的风险文件信息。

在备份计划页签下方的备份历史区域中，可通过时间线查看各备份点的执行状态。绿色圆点表示完成，橙色圆点表示部分完成（可能包含风险文件的备份点）。

在备份浏览页面顶部，系统会显示红色警告提示，包含风险发现时间及最近检测时间。文件列表中，风险文件以红色图标标识，便于快速定位。

如果对已包含病毒文件的备份点进行恢复，您可选择：

不恢复病毒文件（可在病毒检测页面查找安全版本）
我已知晓风险，仍然恢复所有选中项

建议您前往病毒检测页面查看风险文件，并查找安全版本进行恢复。具体操作，请参见查找安全版本恢复。

检测结果

在病毒检测页面，您可以看到所有进行过病毒检测的备份点的统计结果，其中包括：

检测备份点总数：代表历史合计检测过的备份点数目。
检测文件总数：代表所有文件累计被检测的次数，是病毒检测计费的依据。
高危：代表历史合计检测出来的高危文件或者objects数目。
中危：代表历史合计检测出来的中危文件或者objects数目。
低危：代表历史合计检测出来的低危文件或者objects数目。
安全：代表历史合计检测出来的安全文件或者objects数目。

风险文件详情列表包含文件名称、MD5、威胁标签、风险等级、检测时间和操作列。威胁标签包括 WebShell、恶意脚本、代理工具、挖矿程序、可疑程序等类型。在操作列可单击查找安全版本恢复对风险文件进行恢复。

另外，针对每一个备份点，您不仅可以看到该备份点所有历史检测结果统计，还可以看到具体的风险文件详情。

已检测文件数：代表该备份点历史合计已经完成检测过的文件或者objects数目。

文件总数：代表该备份点历史合计计划检测的文件或者objects数目。

检测结果：检测结果是对已检测文件的具体分类统计，具体包括：

高危：代表该备份点历史合计已经检测出来的高危文件或者objects数目。
中危：代表该备份点历史合计已经检测出来的中危文件或者objects数目。
低危：代表该备份点历史合计已经检测出来的低危文件或者objects数目。
安全：代表该备份点历史合计已经检测出来的安全文件或者objects数目。
无法检测的文件数：由于文件大小限制等导致无法被检测的文件数目，该条目代表该备份点历史合计无法的文件或者objects数目。

费用

病毒检测为收费功能，检测文件总数为病毒检测的计费依据。无论是基于备份策略的自动检测，还是按需发起的手动检测，均按成功检测的文件数量进行收费，未成功检测的文件不收费。

基于备份策略的自动检测仅针对新增或发生变化的文件执行增量病毒检测。而按需手动检测针对每个备份点的检测相互独立，互不影响。检测文件总数为自动检测与手动检测历史累计检测文件数的总和。关于计费规则的详细说明，请参见工作原理部分。更多计费信息，请参见。

在病毒检测页签下，页面顶部依次展示检测备份点总数、检测文件总数、高危、中危、低危、安全等统计项。

操作	说明
下载病毒文件列表	您可以将检测到的病毒文件结果导出为文件在本地进行查看，导出文件中包含病毒文件路径、MD5哈希值、风险等级及病毒名称等信息。
下载无法检测文件列表	当单个备份文件大小大于100 MB时，将跳过检测。您可以下载无法检测的文件列表查看具体备份文件信息。
强制恢复当前版本	强制恢复风险文件可能会对恢复目标造成风险，请谨慎操作。

功能介绍

支持范围和使用限制

支持检测病毒类型

注意事项

工作原理

基于备份策略的自动检测

按需手动检测

操作入口

基于备份策略的自动检测

按需手动检测

查找安全版本恢复

恢复安全版本

备份点的病毒检测状态说明

检测结果

相关操作

费用