本发明公开了一种基于ATT_CK和有向警报图的真实威胁告警系统和方法，其步骤包括：1)日志处理模块通过对系统原始审计记录进行处理，并提取其中的实体和交互，组成系统溯源图；2)警报生成模块通过维护ATT_CK知识库，生成威胁检测规则，得到威胁检测规则库，并通过规则匹配出初始警报；3)警报处理模块获取威胁告警后，生成有向警报图，并作为训练集训练GAT模型，将结果与验证集比较，更新权重参数，迭代更新得到训练好的模型；4)真实警报生成模块负责使用模型对新生成的有向警报图中的警报节点进行嵌入编码，并预测类别，对警报节点进行嵌入编码后，再拼接得到警报图的嵌入编码，最终输出预测类别为真实告警的警报节点。