Você não pode - pelo menos nem sempre. Depende completamente da natureza de um ataque DDOS: se ele acessa apenas uma página, pode ser um ataque DDOS desonesto ou apenas a multidão do slashdot (no caso do slashdot, você pode obter uma dica através dos referenciadores)
Se vários IPs começarem a aparecer com mais frequência e o site arrasar muito rapidamente, isso pode ser ruim para o seu site, ou pode ser desejado: se você tiver conteúdo interessante (e em constante mudança), ficará mais agressivo com o site grandes motores de busca. Isso pode não ser muito distribuído, mas pode, no mínimo, resultar em um DOS se for muito agressivo.
Afinal de contas: não está sendo slashdotted também um tipo de DDOS? É manual, mas muito distribuído e pode levar ao DOS.
Você não receberá dicas no referenciador se tiver um nome em um podcast de streaming popular, em que todos aprendem sobre o seu site ao mesmo tempo (o twit.tv vem à mente - eles costumam derrubar os sites mencionando-os) . Como todo mundo está digitando a URL manualmente em seu navegador, não há dica de onde eles vieram.
Última pergunta: Quando você determina o que são: o que você faria com eles? Sua rede pode estar saturada, então a proteção do DDOS precisa ser adicionada fora da sua rede - ou você está procurando um algoritmo para colocar lá?