本发明公开了一种基于突发词聚类的网络安全事件抽取方法，给定一段时间内网络安全设备产生的告警事件，事件抽取包括步骤：对该告警事件进行预处理；对经过预处理后的告警事件使用停用词表删除告警事件中的停用词，得到描述告警事件的候选词；利用突发性的定义，根据候选词出现的频率对其进行过滤，得到突发词；将突发词采用word2vec模型映射为突发词向量，并计算余弦相似度；利用single‑pass clustering算法得到不同类簇；本方案通过网络安全设备的告警事件，从中提取关键信息，聚类到同一类簇中，后续可通过KG推荐，匹配应急响应预案，为网络安全管理人员掌握网络情况、发现并处理网络事件提供可靠依据。