本发明涉及一种TTP自动化提取与攻击团队聚类的方法，随着全球范围内高级持续威胁的日益普及，物联网由于其安全性差，直接暴露于互联网中，使其成为黑客组织发起APT攻击的绝佳武器。攻击者就可以利用攻陷的物联网设备组建僵尸网络，并使用它发起APT攻击。本发明提出了一个用于观察和预测物联网攻击的框架。该框架旨在自动提取攻击者的技术、战术、过程，并在大量攻击背后挖掘出潜在的攻击者团队。首先，它从捕获的物联网蜜罐日志中提取相关字段。然后，将攻击行为映射到ATT&CK框架以实现TTP自动化提取。此外，它生成四个特征组，包括TTP，时间，IP和URL，共18个特征，通过特定分层聚类挖掘潜在的攻击组，最终，将为每个攻击者集群生成攻击树，以更好地描述团队攻击行为。