基于无监督聚类算法的攻击团伙聚类方法及装置

本发明涉及网络安全技术领域，特别涉及一种基于无监督聚类算法的攻击团伙聚类方法及装置，其中，方法包括：采集多个告警信息，并将多个告警信息进行字段关联，以得到告警日志；提取告警日志中的多个特征变量，并根据多个特征变量构建图特征矩阵；在图特征矩阵中选择未被访问过的任一起始数据点作为新空间聚类簇中的第一个点，并将距离第一个点小于或等于距离度量阈值的邻近数据点聚类至当前空间聚类簇中，迭代执行选择与聚类过程，直至图特征矩阵中所有数据点均被访问，得到多个攻击团伙簇。由此，解决了现有安全产品未深入分析将这些数据与攻击者之间的关联，导致在攻击团伙维度上的洞察不足，无法有效识别整个攻击生态系统的模式和趋势等问题。