也许考虑创建高级分析或将高级分析应用于 Web 应用程序活动以分析用户，以识别潜在的不良活动。建立在 ModSecurity 输出和测试算法/模型之上，使安全运营团队更容易快速了解特定用户正在进行的活动以及为什么它可能是敌对的（除了报告简单的原子事件之外）。

在亚马逊上搜索“机器学习安全”或“数据挖掘安全”并查找书籍，例如网络安全的统计技术：现代基于统计的入侵检测和保护 http://www.amazon.com/gp/ product/159904708X/ref=wms_ohs_product并研究这些书中描述的哪些技术可以提高 Web 应用程序的安全性。似乎有一种近乎无限的混合和匹配算法的方式——您的研究可能会产生新的方法来组合现有算法以产生更好的结果。

阅读 Robert Hansen 关于网络日志取证的博客条目可能会产生其他想法： http ://ha.ckers.org/blog/20100613/web-server-log-forensics-app-wanted/

如果你还没有看过OWASP Modsecurity 核心规则集项目，Modsecurity 上有一些有趣的工作正在进行中。

也许，与其只看它做了什么和它阻止了什么，不如考虑看看它没有做什么，以及它不能阻止什么。
从那时起，您可能需要考虑一般性地查看所有 Web 应用程序防火墙，以及使用当前技术可能（和不可能）阻止的情况，可能会根据引擎的不同类别进行细分。
例如，ModSecurity 是纯粹的语法，而不是像 Imperva 那样是行为的（或至少声称是这样）。每种类型的引擎都可以假设检测和阻止不同类型的攻击。而且，对别人完全无能为力。

我的回答与 AviD 一致： 有趣的是（至少对我来说：D）是显示当实际利用不是作为输入参数而是通过文件输入时 mod_security 是否具有任何附加值。例如包含恶意 javascript 的 txt 文件。IE 浏览器（某些版本）会在检查 MIME 时尝试执行它，而不管它是 txt 文件的规范。所以我会说考虑这是一种选择，为什么不呢！