标签：僵尸网络、远控

研判过程：

1、确认主机业务情况（如代理、DNS或者漏扫行为）

确认为用户终端

2、判断是否正常业务行为触发规则导致误判（如批量扫描端口、SMB扫描等行为）否

3、查看主机事情详情：标签是否与事件相符：多个情报库对比（如微步在线，virstotal）主机与多个恶意IP下的多个僵尸网络硬编码域名进行通信

是，确认为主机存在访问僵尸网络恶意硬编码域名行为。

研判结果：事件标签异常，确认为主机感染病毒

处置建议：参考下面【研判篇】章节-僵尸网络病毒专杀