Suggerirei di utilizzare uno strumento orientato all'aggregazione / analisi del registro come lo stack ELK (ricerca elastica, Logstash e Kibana). Dopo un paio d'ore di ricerche sul contesto e gli strumenti, sarai in grado di creare un logstash pipeline e un plug-in di filtro adatto alle tue esigenze.
L'analisi dei log di apache in particolare è un utilizzo molto accurato.
Per quanto riguarda la tua domanda specifica, alcuni buoni punti di partenza generici potrebbero essere:
Rilevamento di richieste di sottodominio randomizzate ([incomprensibili] .tuodominio.com), richieste multiple e isolate indirizzate a una risorsa specifica del tuo sito (ad esempio un'immagine, file di testo ecc.) provenienti da IP casuali, abuso di moduli presenti sul tuo sito (richieste multiple allo script di destinazione) o voci offensive nei campi che tradizionalmente hanno l'elaborazione associata (caricamenti di file non validi / di grandi dimensioni).
Considerando il contesto della tua domanda, suggerirei di basare il mio PoC su una specifica vulnerabilità di progettazione o vulnerabilità di pacchetti popolari al fine di illustrare le tecniche di rilevamento che potrebbero essere rilevanti.
Esegui la seguente ricerca su google e genererà DoS vulns che puoi replicare e hanno exploit funzionanti che puoi costruire contromisure contro: "apache dos site: exploit-db.com".