阿里现在的溯源能力建设主要有两个方面，

线上防控（事发前的预防和事中的阻止），

线下打击（联合公安，实人打击和震慑）。

instruder认为，

攻击溯源能力建设的核心，是攻击者从发起攻击的环境起点到攻击中所使用的各种手段、资源、链路以及最后到达攻击目标后的“完整链路数据掌握和获取能力”.

就是说不管攻击者有多少路径，如果都能掌握，就可以顺利的反推回来这个攻击者是谁。

在这方面除了企业内部数据可以利用外，还有很大一部分是来自互联网的数据，可以帮助实现“信息探测”、“信息拓展”、“身份鉴定”和“互联网活动资源收集”。

| 定向信息探测

在定向信息探测方面，主要是通过可获取的信息转换到IP，做身份关联，有以下几种情况：

QQ账户：

大部分黑产在qq平台上达成交易，5位的qq号有很大一部分是做黑产的，通过QQ识别后，转换为IP信息，对攻击者进行定位；

强身份信息：

通过其发布的钓鱼网站页面，获取到攻击者的社交账号信息或引导攻击者访问QQ空间，来获取强身份信息；

手机号：

通过所使用网络的运营商收费接口来获取，通常运营行还有提供此类数据的服务；

网络代理或VPN：

通常很容易能定位到使用这些工具的真实IP；

| 信息拓展

在信息拓展方面包括：

社工库：

可以从社工库中清理出大量的信息，如IP、手机号、社交账号等。除了市面上的一小部分社工库，黑产也在建立全国身份的一个关联关系；