网络溯源取证的目标是定位网络攻击的源头并获取相关证据，构建网络攻击链和证据链，它是网络空间攻防对抗的关键环节之一。本课程围绕网络攻击的溯源取证目标，结合经典案例，介绍常见的网络攻击行为隐蔽、攻击主机溯源分析、攻击者及其组织溯源分析、主动溯源分析、攻击证据链保全与分析等方法和技术。
通过本课程的学习，使学生了解主流网络攻击溯源取证技术，认识到其在网络空间攻防对抗中的重要性与实际意义，形成对溯源取证研究的兴趣，为进一步从事网络攻击溯源取证相关工作打下基础。

第一章  网络空间安全威胁概述及案例 
第一节  网络空间安全背景知识
      第二节  网络空间安全形势
      第三节  网络空间面临的安全风险及经典案例介绍
      第四节  网络空间安全对策

第二章   网络攻击溯源取证概述   
第一节  溯源取证目标及作用
第二节  溯源取证技术发展历史
第三节  溯源取证面临的挑战
第四节  溯源取证架构及流程
第五节   经典溯源取证案例分析

第三章  追踪溯源攻击主机       
第一节 攻击场景及问题描述
第二节 攻击主机追踪溯源技术分类
第三节 典型的攻击主机追踪溯源技术分析
第四节 相关系统与工具介绍

第四章  追踪溯源攻击控制主机  
第一节 攻击场景及问题描述
第二节 攻击控制模式分类
第三节 典型的攻击控制主机追踪溯源技术分析

第五章  追踪溯源攻击者及其组织  
第一节 问题描述与技术基础
第二节 典型的攻击者及组织追踪溯源技术分析
第三节 经典APT分析报告使用的溯源技术研讨

第六章 主动溯源技术                
第一节 基于攻击同源性分析的溯源技术
第二节 基于蜜罐的溯源技术
第三节 基于隐蔽探测的溯源技术

第七章  数字证据保全和取证分析
第一节 数字取证原理与方法
第二节 数字证据获取技术
第三节 数字证据保全技术
第四节 数字证据分析技术
第五节 证据链构建技术
第六节 网络攻击取证新技术研讨

第八章  考试 
课堂开卷考试

1.   Survey/Analysis of Levels I,II,and III Attack Atrritution Techniques.Don Cohen & K. Narayanaswamy.ARDA,2004.
2.Techniques for Cyber Attack Attribution.David A. Wheeler,Gregory N. Larsen. Institute for Defense Analyses(IDA),2003.
3.   祝世雄等     《网络攻击追踪溯源》 国防工业出版社 2015