本发明提供的基于WMI的攻击行为检测方法及装置，通过WMI服务进程中的监控模块对应用程序编程接口进行监控；若监控到应用程序编程接口存在对WMI管理服务接口的调用，通过应用程序编程接口预设的第一Hook函数获取WMI管理服务接口；若WMI服务操作触发时，通过WMI管理服务接口预设的第二Hook函数，获取WMI的远程过程调用协议接口；WMI服务操作包括WMI执行操作、WMI查询操作或WMI创建实例操作；若存在WMI服务操作时，通过所述WMI的远程过程调用协议接口预设的第三Hook函数，获取WMI服务操作的行为数据和发起WMI服务操作的内网设备的互联网协议地址；将WMI服务操作的行为数据和内网设备的互联网协议地址发送到威胁行为识别引擎。该方法可以提升安全防护能力。