本发明提供了一种恶意IP扫描检测方法、装置、电子设备及介质，方法包括：获取IP数据包，并确定IP数据包中的源设备及目标设备；利用预设设备会话表判断源设备或目标设备是否满足预设条件；预设条件包括源设备为目标设备新建立连接的新增源设备，或目标设备为源设备新建立连接的新增目标设备；若源设备或目标设备满足预设条件，则统计满足预设条件的源设备所连接的目标设备或满足预设条件的目标设备的数量，并在数量大于预设阈值时确定源设备存在恶意IP扫描。本方法可利用预设设备会话表快速确定是否出现恶意IP扫描且无需设置周期，可对各种类型的IP数据包进行IP扫描检测，并有效提升恶意IP扫描检测的全面性及有效性。