本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质，该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息，然后基于实时数据，更新历史ICMP通信结构图，得到新的ICMP通信结构图；再基于实时数据的源IP地址及新的ICMP通信结构图，确定源IP地址对应的节点的特征信息；之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息，得到新的ICMP通信结构图中每个节点对应的键值对，最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为，提高了网络的安全性。