本发明公开了一种基于因果知识的电力信息网络攻击场景重构方法及系统，该方法包括：接收网络中的安全设备上传的告警信息；将告警信息格式化处理，剔除不完整的告警信息；从告警信息中提取告警事件，将告警事件按时间顺序排列成告警序列，对根据告警序列获得告警周期值进行正确性检验，过滤误告警信息；根据告警事件地址间的相关性对告警序列中告警事件进行聚类，划分攻击场景序列；挖掘攻击场景序列中各安全设备告警事件类型间的统计关联关系，形成因果知识；并利用预设算法判断告警序列的攻击场景。通过实施本发明，提高了对于海量告警事件的关联分析能力，避免了告警信息预处理中的信息损失，为后续在实际环境中构建因果知识提供便利条件。