本发明公开了一种面向入侵行为的溯源数据聚类方法及装置，属于计算机技术领域，方法包括：收集系统内核的溯源信息，并进行预处理以过滤与入侵行为无关的节点以及与节点相关的依赖关系；将预处理后的溯源信息转换成溯源图，并构建溯源图的邻接矩阵和节点属性矩阵；从溯源图中选取多个根节点作为随机游走的种子节点，使种子节点按照游走策略进行随机游走，得到溯源图的游走路径以及溯源边的权重；游走策略为：种子节点中任一节点以概率p从邻接矩阵游走到与其相邻的节点，以概率(1‑p)从节点属性矩阵游走到与其存在相同属性的节点；根据游走路径以及溯源边的权重进行聚类。能够精确区分不同溯源事件，为后续的检测和查询提供更精确的数据。