Сначала вы должны сказать, что является или не является потенциальным эксплойтом, иногда URL может быть допустимым запросом, а иногда это может быть атака XSS. Большая часть трафика может быть DDoS или результатом упоминания в статье о слэшдоте.
Далее вы можете просматривать журналы для различных типов атак - например, DDoS, которые вы хотите проверить с помощью IP-инструментов (так как множество DDoS-атак выполняется на не-веб-портах, таких как потоки SYN).
Затем вы хотите установить mod_security и установить для него некоторые правила (вы можете найти множество предопределенных наборов правил в Интернете). Это читает запрос и анализирует его для общих или известных атак (таких как URL, содержащие текст типа sql или html).