本发明涉及网络安全技术领域，特别是涉及一种网络安全告警方法及系统。包括：步骤S1：实时收集分布在网络上不同地方的告警信息和日志信息，并将告警信息和日志信息实时发送；步骤S2：接收告警信息和日志信息，并识别告警信息和日志信息中的原始安全事件信息，将原始安全事件信息进行保存；步骤S3：对原始安全事件信息进行聚合处理，并得到高级安全事件信息，将高级安全事件信息的告警进行输出显示给用户。本发明通过基于聚类分析的方法，有效的对大量的告警信息实行了滤除，提高了对高级安全事件的告警识别能力。