本发明公开了一种基于Snort的电力物联网入侵检测方法，使用聚类分析模块将预处理后的数据分为两类，利用Snort自带的检测引擎中的匹配算法进行数据的关联匹配，将从聚类分析模块传递过来的小部分正常数据、入侵攻击数据及未知数据与规则数据库中预设的攻击规则进行模式匹配；利用判别阈值对数据进行匹配结果判别，若匹配成功，则判断数据为已知攻击，将其报警信息传递给输出模块进行处理；若匹配不成功，则将数据送往关联挖掘模块；将检测引擎中筛出的非已知攻击类数据与攻击规则库中的数据进行关联性分析处理，通过检测两者数据中存在的关联关系来判定是否存在新的攻击类型，若存在，将关联挖掘模块筛选得到的新入侵攻击数据放入攻击规则库中。