电力行业是推动我国经济发展的重要能源行业,从最初的化石燃料(石油、煤炭、天然气)发电到现在的新能源(核能、风能、水能)发电,电力行业正在逐渐向新的邻域寻求可再生资源。同时,随着网络信息的普及,大量的网络信息存在与电力公司和用户之间。其中,一些不法分子通过网络攻击对许多公司造成了无法挽回的损失。大数据的到来使得信息数据呈现爆炸式的增长,普通的日志收集和处理已经无法满足人们的需求。许多公司开发出了优秀的开源SIEM(安全信息和事件管理)系统,通过这个系统可以对目标机实现实时监控或定时监控、分析关联日志和预攻击事件的报警。本文采用AlientVault公司的开源OSSIM系统对电力工业系统日志信息进行数据检测和生成报告结果。首先,本文介绍了几种开源SIEM系统,最后经过比较选择最优解OSSIM。OSSIM由五个重要模块构成,本文对五个模块进行了分析。介绍了 OSSIM中最重要的关联引擎结构和关联分析原理。由于日志数据并不是将所有信息同时全部发送,所以OSSIM需要通过将碎片化的数据进行预处理,最后进行关联获得网络完全信息。其次,本文对电力系统的结构进行了简单分析。根据资料显示出工业领域最常用的系统是SCADA系统。SCADA中最重要的协议是ModBusTCP协议,所以可以从对ModBusTCP协议的分析入手,对电力系统的网络安全信息进行深入分析。电力系统由一代SCADA到现在的三代SACADA系统,从封闭系统向开发系统发展,这将造成一些信息认证薄弱环节容易遭到攻击,本文主要分析了三大主要漏洞类型。本文设计相应漏洞分析的规则树代码,进行规则添加,使得OSSIM可以对该漏洞进行处理。最后,本文通过IDS检测工具,下载ModBusTCP协议漏洞数据包,模拟第三方对客户机进行攻击,数据传输通过安装Snort等插件接收日志信息,最后使用其他设备浏览器浏览OSSIM工作状态,获得OSSIM日志分析结果,生产pdf报告。成功截取漏洞攻击。