OSS恶意文件检测

当您需要检测存储在某个Bucket内的数据是否存在WebShell文件、勒索病毒、木马等恶意文件的风险时,您可以通过OSS的恶意文件检测功能识别风险数据。如果检测到恶意文件,您可以根据事件说明中的处置建议及时处理该文件。

支持检测的病毒类型

病毒类型(virus_type

病毒名称

Backdoor

反弹Shell后门

DDoS

DDoS木马

Downloader

下载器木马

Engtest

引擎测试程序

Hacktool

黑客工具

Trojan

高危程序

Malbaseware

被污染的基础软件

MalScript

恶意脚本

Malware

恶意程序

Miner

挖矿程序

Proxytool

代理工具

RansomWare

勒索病毒

RiskWare

风险软件

Rootkit

Rootkit

Stealer

窃密工具

Scanner

扫描器

Suspicious

可疑程序

Virus

感染型病毒

WebShell

网站后门

Worm

蠕虫病毒

AdWare

广告程序

Patcher

破解程序

Gametool

私服工具

前提条件

RAM用户必须拥有oss:ActivateProduct权限。具体操作,请参见RAM Policy常见示例

费用说明

  • 按恶意文件的检测次数进行计费,计费标准为10元/万次。

  • 恶意文件检测涉及调用的API接口包括ListBuckets(GetService)、GetBucketStat、ListObjectsV2(GetBucketV2)、GetObjectMeta、GetObject,OSS会根据调用的API次数收取请求费用。更多信息,请参见请求费用

  • 仅支持按量付费,按小时计费(账单出账时间通常在当前计费周期结束后,具体出账时间以系统为准)。

使用限制

  • 地域限制

    华东1(杭州)、华北 3(张家口)、华南1(深圳)、华南3(广州)、中国香港地域支持配置恶意文件检测规则。

  • 检测任务完成时间

    默认情况下,不限制Bucket内的文件检测数量,按照异步排队的方式进行检测。当异步排队任务不多时,十万级别数量的文件检测任务可在1小时内完成,百万级数量的文件检测任务可在24小时内完成。

  • Bucket存储类型

    仅标准存储、低频访问类型的Bucket支持配置恶意文件检测规则。归档、冷归档以及深度冷归档类型的Bucket不支持配置恶意文件检测规则。

  • Object存储类型

    仅标准存储、低频访问类型的Object支持配置恶意文件检测规则。归档、冷归档以及深度冷归档类型的Object不支持配置恶意文件检测规则。

  • 单个文件大小限制

    最大支持检测的单个文件大小为100 MB。

  • 压缩包限制

    支持检测的压缩包文件类型包括.7z.zip.tar.gz.rar.ar.bz2.xz.lzma

    一个压缩包支持解压的层级最多为5层,解压后的文件总个数最多为1,000个,解压后的所有文件总大小最多为1 GB。对于超出限制范围的文件,不会被检测。

使用OSS控制台

  1. 首次检查Bucket中的恶意文件时,需要完成AliyunServiceRoleForOssMfd角色的授权。

    1. 登录OSS管理控制台

    2. 单击Bucket 列表,然后单击目标Bucket名称。

    3. 在左侧导航栏,选择内容检测 > 恶意文件检测

    4. 恶意文件检测页面,单击立即开通,然后按页面指引领取恶意文件检测免费试用额度,超出免费试用额度部分将采用按量付费。

    5. 恶意文件检测页面,单击确认授权

      授权完成后,后台会为该角色自动生成权限策略AliyunServiceRolePolicyForOssMfd。该权限策略包含读取Bucket列表和Object列表、访问KMS以及对Object解密的权限。

  2. 配置恶意文件检测规则。

    立即执行检测规则

    全量检测

    全量文件检测可以更全面地检查OSS某个Bucket中的数据是否存在安全风险,确保文件内容符合法规要求。

    1. 恶意文件检测页面右上角,单击检测

    2. 在弹出的检测对话框,选择文件检测类型扫描路径

      • 文件检测类型

        您可以选择检测整个Bucket内的全部文件类型或者指定文件类型。

      • 扫描路径

        如果您需要检测Bucket内的所有文件时,需选择配置到整个Bucket。如果您希望仅检测与指定前缀匹配的文件,需选择按前缀匹配,并指定需要匹配的前缀。

    3. 单击确定

    增量检测

    对某个Bucket或者Bucket下某个路径下的数据完成全量检测后,可以考虑采用增量文件检测,即只对新增或变动的文件进行检测,以节省计算资源和时间。

    1. 恶意文件检测页面右上角,单击增量检测

    2. 在弹出的检测对话框,选择文件检测类型扫描路径

      • 文件检测类型

        您可以选择检测整个Bucket内的全部文件类型或者指定文件类型。

      • 扫描路径

        如果您需要检测Bucket内的所有文件时,需选择配置到整个Bucket。如果您希望仅检测与指定前缀匹配的文件,需选择按前缀匹配,并指定需要匹配的前缀。

    3. 单击确定

    自定义检测规则执行时间

    1. 在Bucket基础信息区域,单击策略配置状态右侧的Dingtalk_20231129131037.jpg

    2. 策略创建对话框,按以下说明完成相关配置。

      配置项

      说明

      策略名称

      自定义策略名称。

      策略启用状态

      启用策略。

      扫描路径

      • 按前缀匹配

      • 仅在需要扫描Bucket中与指定前缀匹配的文件时,选择此项。然后,您需要指定匹配前缀,例如dir。

      • 配置到整个Bucket

      • 当您需要扫描整个Bucket内的文件时,选择此项。

      检测周期

      自定义文件检测周期,支持选择多项。例如每周一、每周二执行检测。

      文件检测时间

      指定文件检测的起始和结束时间,精确到秒。

      文件检测类型

      选择检测全部文件类型或者指定文件类型。选择指定文件类型时,您需要下拉选择具体的类型,例如以.7z为后缀的文件。

    3. 单击确定

  3. 查看检测结果。

    • 如果检测到不存在风险文件,则风险文件详情区域不显示任何检测结果。

    • 如果检测到存在风险文件,您可以在风险文件详情区域,查看存在风险的文件名称、威胁标签、文件MD5、风险等级,以及首次发现时间和最新扫描时间。

      test.jpg

  4. 处理风险文件。

    您可以单击风险文件右侧操作列下的详情,查看风险文件的事件说明,结合事件说明中提供的处置意见及时处理风险文件。