私はしばらくmod_securityを使ってきましたが、修士論文でなんとかしてそれを使用したいと思います。この作業がmod_securityの機能、それを使用して防ぐことができるWeb攻撃の種類、その他の機能(リクエストが実際にHTTPかどうかの分析、XMLの分析など)を説明するよりも興味深いかもしれません。私はこの特定のツールに集中するのではなく、特定の種類のWebサイトなどを保護するシステムを作成します。何がそれをより反響のようにできるのでしょうか?ヒントはありますか?
高度な分析を作成またはWebアプリケーションアクティビティに適用して、潜在的な不良アクティビティを特定する目的でユーザーをプロファイリングすることを検討する場合があります。特定のユーザーが実行しているアクティビティとそれが敵対的である理由(単純なアトミックイベントの報告以外の話)をセキュリティ運用チームがすばやく理解できるようにするModSecurity出力とテストアルゴリズム/モデルの上に構築します。
Amazonで「機械学習セキュリティ」または「データマイニングセキュリティ」を検索し、などの本を見つけてください。ネットワークセキュリティの統計的手法:最新の統計ベースの侵入検知と保護http://www.Amazon.com/gp/product/159904708X/ref=wms_ohs_product そして、それらの本に記載されているどの手法がウェブアプリケーションのセキュリティを向上させるかを調査します。アルゴリズムを組み合わせる方法はほぼ無限にあるようです-あなたの研究は、既存のアルゴリズムを組み合わせてより良い結果を生み出す新しい方法をもたらす可能性があります。
ウェブログフォレンジックに関するRobert Hansenのブログエントリを読むと、次のようなアイデアが生まれるかもしれません。 http://ha.ckers.org/blog/20100613/web-server-log-forensics-app-wanted/
OWASP Modsecurity Core Ruleset Project をまだ見ていない場合は、Modsecurityで興味深い作業が行われています。
たぶん、それが何をするか、何を防ぐかだけを見るのではなく、それが何をするかしないを見て、何をするかできないを検討することを検討してください。
その時点から、すべてのWebアプリケーションファイアウォール、および現在のテクノロジーを使用してブロックすることができる(およびできないもの)を総括的に検討することを検討することをお勧めします。エンジンのクラスごとに分類できます。
例えば。 ModSecurityは、たとえば、行動的である(または少なくともそうであると主張する)Imperva。エンジンの種類ごとに、さまざまな種類の攻撃を仮想的に検出してブロックすることができます。そして、他の人に関しては完全に無力です。
私の答えはAviDに沿っています:興味深いのは(少なくとも私にとっては:D)、実際のエクスプロイトが入力パラメーターとしてではなく、ファイル。たとえば、悪意のあるJavaScriptを含むtxtファイル。 IEブラウザ(特定のバージョン)は、MIMEをチェックするので、それがtxtファイルであるという指定に関係なく、それを実行しようとします。
この分野の学術文献を読むことから始めて、これまでに行われた研究と最新技術の現状を理解してください。まず、RAID、DIMVA、およびUsenix Securityの手順を調べて、興味に関連すると思われる論文を見つけます。それらの論文、彼らが引用する論文(関連があると思われる場合)、およびそれらを引用する論文(関連があると思われる場合)を読んでください。これにより、最先端のギャップがどこにあるのかがわかります。
また、あなたの研究アドバイザーと話し合うことをお勧めします。最先端の技術を進歩させ、大まかな関心領域にある修士のプロジェクトを選択するのを支援するのは、アドバイザーの仕事です。