本发明涉及网络安全技术领域，特别涉及一种基于安全告警数据的攻击策略抽取方法。其方法包括以下步骤：S1.从告警文本中获取攻击者的单步攻击信息；S2.构建攻击活动序列集；S3.构建候选攻击策略；S4.构建攻击策略数据集；S5.预训练；S6.模型训练；S7.攻击策略抽取；S8.人工验证。本方法通过训练模型来判断攻击者的一个候选攻击策略是否为全部的有效攻击步骤，并且这些攻击步骤的组合能完成攻击者的攻击目的；通过这个模型，能够使用枚举候选攻击策略的方式关联出攻击者的全部有效攻击步骤，组成攻击者的攻击策略，而无需定义大量的关联规则；而且在过去的关联经验中未被关联的两个告警也可能被本方法所关联。