1.基于蜜罐實戰(zhàn)生成的網絡攻擊知識圖譜的行為預測方法，其特征在于，包括如下步驟：

S1：部署誘捕節(jié)點和蜜罐，綁定節(jié)點信息，當受到攻擊后，記錄下攻擊信息，其中攻擊信息包括攻擊行為、攻擊來源IP和端口、攻擊方式、攻擊內容和攻擊時間；

S2：將步驟S1所記錄的攻擊信息進行知識圖譜構建，圖譜構建方法如下：將所有攻擊信息按照攻擊類型劃分為第一級節(jié)點M1、第二級節(jié)點M2和第三級節(jié)點M3，第一級節(jié)點M1、第二級節(jié)點M2和第三級節(jié)點M3是從屬關系，即第一級節(jié)點M1是第二級節(jié)點M2的父級，第二級節(jié)點M2是第三級節(jié)點M3的父級；

S3：根據(jù)知識圖譜選定k類簇的各自中心點C_j，計算各個簇內的點i到中心點C_j的距離，得到k個距離數(shù)組D_ij，取最小值Min{[D_ij]}，其對應中心點j，中心點j便是i新劃分到的簇的中心點，完成所有點的第一次聚類；

S4：將i輪換成其所在的簇的中心點，計算距離代價總和；

S5：判斷距離代價總和是否小于給定距離代價閾值e，如果距離代價總和小于給定距離代價閾值e，則認為已經達到收斂條件，如果沒有達到，則繼續(xù)迭代直至收斂，最終分類成k個行為相關的簇，生成聚類模型；

S6：將k個簇的相似行為采用三元組的形式[{Pre_Attack_Event}{Predict}{Af_Attack_Event}]進行記錄或給定一個距離值d，認定在這個距離內的攻擊事件都是有相互發(fā)生的可能性來進行記錄，從而做出相關性預測；

S7：再次收集來自同一攻擊來源IP連續(xù)的攻擊信息，記錄每次攻擊行為，然后將這次攻擊事件放入到聚類模型里面進行驗證，如果超出預期則再進行聚類重構，從而不斷完善聚類模型；

步驟S4中計算距離代價總和方式為，設任意一點t，距離簇的原中心點j的距離為D_jt，然后中心點由j變更為i后，距離中心點i簇的距離為D_it，兩者距離差的絕對值為dist{i，j，t}＝|D_jt-D_it|，dist{i，j，t}為中心點由j變?yōu)閕，t點需要付出的距離代價，最后得到距離代價總和。