通过OSS恶意文件检测功能检查Bucket是否存在恶意数据风险

当您需要检测存储在某个Bucket内的数据是否存在WebShell文件、勒索病毒、木马等恶意文件的风险时，您可以通过OSS的恶意文件检测功能识别风险数据。如果检测到恶意文件，您可以根据事件说明中的处置建议及时处理该文件。

支持检测的病毒类型

RAM用户必须拥有oss:ActivateProduct权限。具体操作，请参见RAM Policy常见示例。

按恶意文件的检测次数进行计费，计费标准为10元/万次。
恶意文件检测涉及调用的API接口包括ListBuckets（GetService）、GetBucketStat、ListObjectsV2（GetBucketV2）、GetObjectMeta、GetObject，OSS会根据调用的API次数收取请求费用。更多信息，请参见请求费用。
仅支持按量付费，按小时计费（账单出账时间通常在当前计费周期结束后，具体出账时间以系统为准）。

地域限制
华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北 3（张家口）、华北5（呼和浩特）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国香港、日本（东京）、韩国（首尔）、新加坡、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）、德国（法兰克福）、英国（伦敦）、美国（硅谷）、美国（弗吉尼亚）地域支持配置恶意文件检测规则。
检测任务完成时间
默认情况下，不限制Bucket内的文件检测数量，按照异步排队的方式进行检测。当异步排队任务不多时，十万级别数量的文件检测任务可在1小时内完成，百万级数量的文件检测任务可在24小时内完成。

Bucket存储类型
仅标准存储、低频访问类型的Bucket支持配置恶意文件检测规则。归档、冷归档以及深度冷归档类型的Bucket不支持配置恶意文件检测规则。
Object存储类型
仅标准存储、低频访问类型的Object支持配置恶意文件检测规则。归档、冷归档以及深度冷归档类型的Object不支持配置恶意文件检测规则。
单个文件大小限制
最大支持检测的单个文件大小为300 MB。
压缩包限制
支持检测的压缩包文件类型包括.7z、.zip、.tar、.gz、.rar、.ar、.bz2、.xz和.lzma。
一个压缩包支持解压的层级最多为5层，解压后的文件总个数最多为1,000个，解压后的所有文件总大小最多为1 GB。对于超出限制范围的文件，不会被检测。

配置恶意文件检测规则。

全量文件检测可以更全面地检查OSS某个Bucket中的数据是否存在安全风险，确保文件内容符合法规要求。

在恶意文件检测页面右上角，单击检测。
在弹出的检测对话框，选择文件检测类型和扫描路径。
- 文件检测类型
  您可以选择检测整个Bucket内的全部文件类型或者指定文件类型。
- 扫描路径
  如果您需要检测Bucket内的所有文件时，需选择配置到整个Bucket。如果您希望仅检测与指定前缀匹配的文件，需选择按前缀匹配，并指定需要匹配的前缀。
单击确定。

对某个Bucket或者Bucket下某个路径下的数据完成全量检测后，可以考虑采用增量文件检测，即只对新增或变动的文件进行检测，以节省计算资源和时间。

在恶意文件检测页面右上角，单击增量检测。
在弹出的检测对话框，选择文件检测类型和扫描路径。
- 文件检测类型
  您可以选择检测整个Bucket内的全部文件类型或者指定文件类型。
- 扫描路径
  如果您需要检测Bucket内的所有文件时，需选择配置到整个Bucket。如果您希望仅检测与指定前缀匹配的文件，需选择按前缀匹配，并指定需要匹配的前缀。
单击确定。

在策略创建对话框，按以下说明完成相关配置。

配置项	说明
策略名称	自定义策略名称。
策略启用状态	启用策略。
扫描路径	按前缀匹配仅在需要扫描Bucket中与指定前缀匹配的文件时，选择此项。然后，您需要指定匹配前缀，例如dir。配置到整个Bucket 当您需要扫描整个Bucket内的文件时，选择此项。
检测周期	自定义文件检测周期，支持选择多项。例如每周一、每周二执行检测。
文件检测时间	指定文件检测的起始和结束时间，精确到秒。
文件检测类型	选择检测全部文件类型或者指定文件类型。选择指定文件类型时，您需要下拉选择具体的类型，例如以.7z为后缀的文件。

查看检测结果。
- 如果检测到不存在风险文件，则风险文件详情区域不显示任何检测结果。
- 如果检测到存在风险文件，您可以在风险文件详情区域，查看存在风险的文件名称、威胁标签、文件MD5、风险等级，以及首次发现时间和最新扫描时间。
处理风险文件。
您可以单击风险文件右侧操作列下的详情，查看风险文件的事件说明，结合事件说明中提供的处置意见及时处理风险文件。