本发明涉及一种攻击路径还原方法及装置，该方法通过安全事件告警和各设备在网络拓扑中的连接关系的综合分析得出攻击者、内网薄弱点、攻击来源、攻击者四者的各自列表和各台设备之间的连接关系，由此完成攻击过程的还原。相比于现有的路径还原方法，本发明实施例提供的方法能够深入内网发现内网防护中的安全薄弱点，使攻击路径溯源对企业安全提升更具实效，提高分析效率。同时还能够屏蔽掉海量安全事件中不关键连接的噪音，只对生效的攻击路径溯源，且能够对所有的攻击进行还原，提升还原能力。此外，本发明提供的方法在攻击路径还原的同时也不会影响在运行的业务，能够保持业务的正常运行。