Pode ser difícil ver a diferença de bons ou maus, apenas verificando a taxa de solicitações por segundo. Você precisaria executar o script em Seu ambiente para ver quantas solicitações de um único endereço IP por 5 minutos (exemplo) são "normais" para o seu site, antes de tomar a decisão final.
Depois de ter descoberto a taxa normal, deve ser possível contar GET e / ou POST (dependendo da sua análise de arquivo de log) com o seu script.
É possível encontrar outras atividades suspeitas nos arquivos de log para filtrar, como a verificação de scripts ou executáveis etc. (GET / POST que "esperançosamente" causa um erro em um servidor da Web bem configurado ;-))
Eu usei este link externo de proibição-2-ban em meus próprios sistemas.