【每日一记】从态势感知告警数量曲线大致判断主机所属

【个人看法，不保证全对】

背景：学校

可以把学校的主机大致分为四类：

1、服务器

2、教室、实验室、某公司电脑

3、个人/办公PC

1、服务器，因为服务器常年开机，所以挖矿长期活跃，且服务器性能都较高，所以挖矿次数也会比较高。是需要进一步杀毒或者手工排查处理的。

2、教室、实验室、某公司电脑，这种一般都会有保护卡（开机关机恢复出厂状态），所以此类电脑不用处理。此类的大致状态是：挖矿次数少且不稳定、反复感染、教室和实验室的电脑一般周六周天不会有挖矿的情况（因为没人上课）

3、个人/办公pc感染挖矿的几率较低，没具体遇到过，这里猜测一下，部分人每天会关机，所以可能曲线显示周期性，但是也有部分办公pc不会关机。总体就是，挖矿次数应该较少且稳定。如果是办公pc，肯定也要进行处理的

哎这个发帖有点看不懂，为什么会出现两次图片