本申请实施例提供了一种基于威胁行为的实时检测方法与系统，应用于计算机安全管理技术领域。通过根据威胁事件的发生场景选取应用语义，按照威胁事件的分析策略，排序组合成语义规则模板或语义规则配置文件。再根据语义规则模板或语义规则配置文件生成语义规则对象树，语义规则对象树中包含了与语义规则模板中的应用语义对应的节点。最后根据语义规则对象树生成用于分步骤检查威胁事件对应的目标行为特征日志的有向无环图。在威胁事件发生变更时，也可以重新定义语义规则模板或语义规则配置文件进而生成新的语义规则对象树，更新有向无环图对变更后的威胁事件对应的目标行为特征日志进行实时检测，解决了静态网络分析威胁事件缺乏时效性的问题。