为避免因恢复受病毒感染的数据导致生产环境被病毒污染的风险,云备份服务提供备份点病毒检测功能。本文介绍云备份的备份点病毒检测功能,包括功能介绍、支持范围和使用限制、工作原理、操作流程、费用以及注意事项等。
功能介绍
云备份是对您生产环境中数据的定期备份,如果您生产环境中的数据被病毒污染,备份库中相应的数据也将携带病毒。当您需要恢复备份库的数据到生产环境时,如果用于恢复的文件已感染了病毒,恢复后将对生产环境产生二次污染,对灾难恢复的时效性造成极大的影响,给业务带来更大的损失。 云备份提供备份点病毒检测功能,来帮助您选取干净安全的备份点进行数据恢复。通过该功能,您可以进行:
基于备份策略的自动检测:在设置备份策略时,开启备份点病毒检测功能,云备份将在每次定时备份后自动完成备份数据病毒检测。通过此方式,您可以了解每个备份点中的备份文件风险情况,在需要数据恢复时可以高效地选取安全的文件进行恢复。
按需手动检测:您可以根据具体的业务需求,在备份历史中选取一个特定的备份点进行病毒检测,或在病毒检测页面创建备份点病毒检测任务,或使用恢复时进行病毒检测功能。
在检测后如果云备份发现备份点存在病毒文件,将会对该备份点进行风险标记。在浏览备份点时,您可以看到备份点中的备份文件的具体风险情况。
支持范围和使用限制
备份点病毒检测功能支持的数据源包括ECS文件备份(新版)、本地文件备份(新版)、OSS备份、阿里云NAS备份和本地NAS备份。
备份点病毒检测功能仅能够检测单个不超过100 MB大小的备份文件。当单个备份文件大小大于100 MB时,将跳过检测,您可以通过下载“无法检测的文件列表”进行查看具体备份文件信息。
支持地域:请参考地域支持的功能特性。
支持检测病毒类型
云备份的备份点病毒检测功能支持对以下病毒类型(virus_type)进行检测。
virus_type | 病毒名称 |
Backdoor | 反弹Shell后门 |
DDoS | DDoS木马 |
Downloader | 下载器木马 |
Engtest | 引擎测试程序 |
Hacktool | 黑客工具 |
Trojan | 高危程序 |
Malbaseware | 被污染的基础软件 |
MalScript | 恶意脚本 |
Malware | 恶意程序 |
Miner | 挖矿程序 |
Proxytool | 代理工具 |
RansomWare | 勒索病毒 |
RiskWare | 风险软件 |
Rootkit | Rootkit |
Stealer | 窃密工具 |
Scanner | 扫描器 |
Suspicious | 可疑程序 |
Virus | 感染型病毒 |
WebShell | 网站后门 |
Worm | 蠕虫病毒 |
AdWare | 广告程序 |
Patcher | 破解程序 |
Gametool | 私服工具 |
注意事项
备份库中归档层备份恢复点不支持备份点病毒检测。
在跨地域备份场景中,对镜像库中的备份点不支持基于备份策略的自动检测,但支持按需手动检测。如果备份点中的文件在源端进行了病毒检测,则相应的检测结果会展示在目标端的同一备份点及文件上,您无需进行二次检测。如果您需要了解按需进行病毒检测的更多信息,请参见备份数据按需手动检测。
备份策略中开启备份点病毒检测后,对第一个备份点会进行全量病毒检测,对后续的备份点进行增量备份的病毒检测。
工作原理
病毒检测功能和备份服务无缝集成,您不需要部署任何服务或客户端即可完成备份数据病毒检测。
基于备份策略的自动检测:
在备份策略中开启备份点病毒检测功能后,备份服务后台将会在每次定时备份完成后自动对备份点进行病毒检测,病毒检测所需时间取决于检测的文件数。
按照策略对同一个备份链路进行病毒检测,策略生效后,对第一个备份点会进行全量病毒检测,对后续的备份点病毒检测只会针对相比前一个备份点新增和变化的文件进行增量病毒检测。
如上图所示,病毒检测时,对备份点1会进行全量病毒检测,合计检测10000个文件,对备份点2仅会对基于备份点1变化的1000个文件和新增的2000个文件进行增量病毒检测,合计检测3000个文件。对备份点3仅会对基于备份点2变化的2000个文件进行增量病毒检测,合计检测2000个文件。
按需手动检测:
按需手动检测的具体方式包括:
在备份历史中,选择指定一个备份点进行手动病毒检测。
在备份历史中,选择指定一个备份点创建一个恢复任务,同时开启恢复时进行病毒检测功能进行病毒检测。
在恢复任务页面,选择一个备份库或者异地镜像备份库的某个备份点创建恢复任务,同时开启恢复时进行病毒检测功能进行病毒检测。
在病毒检测页面,选择一个备份库或者异地镜像备份库的某个备份点进行手动病毒检测。
在病毒检测页面,如果一个备份库或者异地镜像备份库的某个备份点被病毒感染后,可以通过使用查找安全版本恢复,选择其他的备份点进行病毒检测以选择安全版本进行恢复。
使用按需手动检测时,每一个备份点会独立进行病毒检测,不继承同一个备份链路中其他备份点的检测结果,可能会出现同一个文件被检测多次的结果。但是对同一个备份点进行多次按需手动检测时,同一个文件只会被检测一次,并且多次检测结果会自动进行合并。
如上图所示,针对备份点1,/A目录下包含10000个文件,/A/B目录下包含4000个文件,第一次只选择目录/A/B进行病毒检测,那么会对4000个文件进行病毒检测,但是第二次选择/A目录进行病毒检测时,由于/A/B目录已经被检测,则只会对10000-4000=6000个文件进行病毒检测。 针对备份点2,如果选择全部文件进行按需病毒检测,则会对9000+1000+2000=12000个文件进行病毒检测。针对备份点3,如果选择全部文件进行按需病毒检测,则会对1000+2000=3000个文件进行病毒检测。
操作入口
这里以ECS文件的操作为例,对备份点病毒检测功能的操作入口进行说明。
基于备份策略的自动检测
关于如何创建备份策略,请参见管理备份策略。
按需手动检测
单击病毒检测,您可对包括所有文件、包含指定文件、排除指定文件进行病毒检测。
恢复时进行病毒检测。开启后,云备份在恢复时会对所有待恢复的文件进行病毒检测,即边检测边恢复。
恢复项包含已检测到的病毒时。如果对已包含病毒文件的备份点进行恢复,您可选择
不恢复病毒文件(可在病毒检测页面查找安全版本)
查找安全版本的具体操作,请参见查找安全版本恢复。
我已知晓风险,仍然恢复所有选中项
在选择源实例页签,选择要检测的备份库,选择要检测的备份来自哪个客户端。然后单击下一步。
在选择备份页签,选择要检测哪个备份点。然后单击下一步。
在选择检测文件页签,您可检测包括所有文件、包含指定文件、排除指定文件。然后单击确定。
在检测后如果云备份发现备份点存在病毒文件,将会对该备份点进行风险标记。在浏览备份点时,您可以看到备份点中的备份文件的具体风险情况。
查找安全版本恢复
在病毒检测页签,单击目标操作列的查找安全版本恢复。
选择要查找哪些风险文件的安全版本,然后单击下一步。
选择要在哪些备份点中查找安全版本恢复(即未被病毒感染的原文件的备份点),然后单击开始查找。
恢复任务创建后,可以在恢复任务页签的状态栏查看安全版本状态。
状态为无安全版本,更换合适的备份点查询安全版本。
状态为有安全版本,您可以单击操作列的更多选择恢复安全版本。更多操作请参见恢复安全版本。
恢复安全版本
单击操作列的更多选择恢复安全版本。
在选择备份页签,您可以选择一个有安全版本的备份点进行恢复。然后单击下一步。
在选择恢复项目页签,然后单击下一步。
在恢复目的地页签,选择要恢复的目的地,然后单击下一步。
在恢复路径页签,您可以指定路径进行恢复,或在原路径恢复,然后单击开始恢复。
在恢复任务页签,您可查看任务的恢复状态。当状态为完成时,表示恢复成功。
检测结果
在病毒检测页面,您可以看到所有进行过病毒检测的备份点的统计结果,其中包括:
检测备份点总数:代表历史合计检测过的备份点数目。
检测文件个数:代表历史合计检测过的文件或者objects数目,也是检测文件合计计费数目。云备份按此数量进行计费。
高危:代表历史合计检测出来的高危文件或者objects数目。
中危:代表历史合计检测出来的中危文件或者objects数目。
低危:代表历史合计检测出来的低危文件或者objects数目。
安全:代表历史合计检测出来的安全文件或者objects数目。
另外,针对每一个备份点,您不仅可以看到该备份点所有历史检测结果统计,还可以看到具体的风险文件详情。
已检测文件数:代表该备份点历史合计已经完成检测过的文件或者objects数目。
文件总数:代表该备份点历史合计计划检测的文件或者objects数目。
检测结果:检测结果是对已检测文件的具体分类统计,具体包括:
高危:代表该备份点历史合计已经检测出来的高危文件或者objects数目。
中危:代表该备份点历史合计已经检测出来的中危文件或者objects数目。
低危:代表该备份点历史合计已经检测出来的低危文件或者objects数目。
安全:代表该备份点历史合计已经检测出来的安全文件或者objects数目。
无法检测的文件数:由于文件大小限制等导致无法被检测的文件数目,该条目代表该备份点历史合计无法的文件或者objects数目。