攻击组织和分布式测绘行为识别方法、设备和介质

本发明实施例公开了一种攻击组织和分布式测绘行为识别方法、设备和介质。其中，方法包括：获取多条攻击流量；采用流式聚类方法，对所述多条攻击流量进行聚类，其中，同一聚类簇代表了相似的攻击手段，各聚类簇分别代表不同的攻击手段；将各聚类簇中的攻击流量来源的至少一个攻击地址，划分为一类；以各攻击地址为事务数据项，以各类攻击地址为项集，执行关联规则算法，得到由攻击地址组成的至少一个强关联规则，其中，各强关联规则内部的各攻击地址采取相似攻击手段的概率大于置信度阈值；合并各强关联规则间属于同一网段的攻击地址，将各合并后的强关联规则分别作为各攻击组织。本实施例能够识别属于同一攻击组织的多个攻击者。