边亮提到，黑客组织的溯源非常复杂，攻击者往往会通过各种手段隐藏自己的真实身份和地理位置，也可能会故意留下误导性的线索。

同时，大数据对比分析也至关重要。

通过将捕捉到的信息，与多年沉淀下来的数据库中已知的黑客行为模式进行比对，技术专家们分析“这种攻击手法是不是某个黑客组织的典型风格？这个IP地址之前有没有被报告过？”可以大致判断出攻击者的身份，甚至可能找到其真实身份。

“抓住对方的失误”往往是找到攻击者的关键。

边亮介绍，黑客在实施攻击时会使用一些特定的工具、组件或者协议规范，这就像他们的“指纹”，可以通过技术手段被识别出来。在开发攻击工具时，常会赋予其独特名字或代号，就像名片，或者是使用的跳板偶尔失灵，这些信息可能在攻击中泄露，进而成为暴露身份的线索。

在长期的攻防战中，网络安全专家们也总结出了一些作息规律——大部分实施网络攻击的人往往不会在周末、圣诞节等西方国家的节假日活动。这似乎代表着对方的攻击是某种职务行为，这种作息规律也是暴露攻击者身份的重要痕迹。

最终，经过持续的攻坚溯源，成功锁定了参与网络攻击亚冬会的美国国家安全局3名特工。进一步调查发现，该3名特工曾多次对我国关键信息基础设施实施网络攻击，并参与对华为公司等企业的网络攻击活动。技术团队同时发现，具有美国国家安全局背景的美国加利福尼亚大学、弗吉尼亚理工大学也参与了本次网络攻击。

关键基础设施单位亟须提高自身防御能力

据哈尔滨公安局消息，美国国家安全局主要围绕特定应用系统、特定关键信息基础设施、特定要害部门开展网络渗透攻击，涵盖数百类已知和未知攻击手法，攻击方式超前，包括未知漏洞盲打、文件读取漏洞、短时高频定向检测攻击、备份文件及敏感文件及路径探测攻击、密码穷举攻击等，攻击目标、攻击意图明显。