当前环境下的趋势导向，疫情期间的影响，发现病毒时，利用各种手段开展筛选，最终找到源头开展控制或消除；那么，当网络处于攻坚战时，攻击可追溯性是安全事件中事件后响应的重要组成部分。利用对受伤者资产和局域网流量的深入分析，能够在一定程度上还原攻击者的攻击路径和攻击战术，有助于修补漏洞和风险，避免二次事件的发生。进攻知识能够转化为防守优势。如果我们能够积极主动、可预测，我们就能更好地控制后果。

思维，在追溯的过程中，除了相关的技术手段，还要确认一个整体的思维。对不正常点开展整体深入分析，根据实际环境给出几个可能的方案。俗话说，有备无患。深入分析经常出现的问题和可能出现的错误，不断设计和改进。也有一些检测设备的部署，异常情况经常发生，很容易被用户察觉的例子如下:网页被篡改，链接到暗链，Web文件丢失。数据库被篡改，可用性受到web系统异常操作的影响，web用户密码被篡改。主机有不正常操作反应，文件被加密，主机系统出现其他用户。主机流量层存在大量不正常流量。根据用户的站点情况，往往需要做一些信息收集工作，比如不正常时间点(非常重要)、不正常服务器的主要业务情况、一般的网络拓扑是否在DMZ区域、是否能够利用公网浏览、打开了哪些端口、是否打了补丁、使用了什么样的web技术、最近是否有改动、是否有安全设备等。

根据收集到的信息，我们经常能够得出几个可能性。漏洞很多，有些漏洞不能及时修补。是否应该规避风险，应该采取什么策略？一个web应用器公网可以用暗链浏览事件使用框架类，所以一开始能够怀疑是命令执行漏洞；如果一个公网服务器没有打补丁，没有防火墙保护，管理员密码是P@sswrod，那么暴力破解成功的可能性很大；接下来的工作主要是收集各种数据来证明这个猜想。

Web系统，一般一般web类的安全事件在web系统日志中能够找到一些线索。毕竟不是每个黑客都能做清系统日志这种事。几个多见中间件的系统日志如下:apache的系统日志路径一般配置在httpd.conf的目录或者在/var/log/http中。默认情况下，IIS的系统日志位于系统目录下日志文件下的目录中。tomcat通常位于Tomcat安装目录中的系统日志文件夹下。Nginx系统日志一般配置在nginx.conf或vhostconf文件中。系统日志通常以日期命名，方便后续审计人员和安全人员深入分析。想要尽最大努力的工人必须首先磨利他们的工具。一般系统日志量比较大。网上还有很多系统日志检测工具。个人不喜欢用主工具或者记事本++和升华文本来跟进收集到的信息，比如时间点。利用深入分析时间点前后的请求系统日志，通常能够发现一些不正常。