标签：DGA、随机域名

研判过程：

1、确认主机业务情况（如代理、DNS或者漏扫行为）

确认为用户终端

2、判断是否正常业务行为触发规则导致误判（如批量扫描端口、SMB扫描等行为）否

3、查看主机事情详情：标签是否与事件相符：多个情报库对比（如微步在线，virstotal），主机访问多个DGA恶意域名，以下图为例

是，确认为主机存在访问恶意软件特定家族类域名行为。

研判结果：事件标签异常，确认为主机感染病毒

处置建议：

参考下面【研判篇】章节-僵尸网络病毒专杀

注释：病毒通过dga随机生成域名进行请求，黑客只需要在网上注册少许的域名，当DGA域名对应到黑客注册的域名时，内网主机就连接上了黑客服务器。