本发明提出了一种攻击组织发现方法及系统，该方法包括：1)获取待处理的Web日志，对Web日志中的关键特征进行提取与预处理；2)用AP聚类方法对上述特征中的无标签特征进行单独聚类，将标签化处理后得到的结果与有标签特征合并；3)根据每个特征在使用时的重要性，给标签特征赋予不同的权值，对比不同IP间特征值是否相同，对特征值相同的权值进行累加，得到最后的群体分值；4)根据不同IP的群体分值得分情况，当分值高于预设阈值时，认定该群体内的IP为同一攻击者/攻击组织。本发明有效的节约了人力资源，并且大大提高了工作效率，降低了企业入侵原因分析的人工成本和时间成本。