本公开提出一种识别漏洞扫描行为的方法和装置，涉及网络安全领域。从告警日志中获取其中一个攻击IP地址的告警信息，根据攻击IP地址的告警信息，计算第一维度信息，包括攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性，并计算第二维度信息，包括攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性，基于第一维度信息或第二维度信息中的一项或多项，识别攻击IP地址相应的行为是否为漏洞扫描行为。