本发明公开了一种基于攻击特征识别标签库的威胁过滤研判方法，包括以下步骤：识别到疑似的威胁事件的流量时，通过字段提取事件的载荷或请求体，先进行高度识别标签组过滤，若匹配到高度识别标签，则将该事件直接放入高可疑事件列表；若未匹配到高度识别标签，则进入中度识别标签组过滤，若匹配发现超过第一数量的中度识别标签，则将该事件直接放入高可疑事件列表，若匹配到的中度识别标签小于第一数量，则将该事件直接放入一般可疑事件列表；若未匹配到中度识别标签，识别标签组过滤，若匹配发现超过第二数量的一般识别标签，则将该事件直接放入一般可疑事件列表，若匹配到的一般识别标签小于第二数量，则对该事件不做处理。