Sembra che quello che stai cercando di fare sia il rilevamento delle intrusioni, ma a livello di applicazione Web (livello 7). Questo è solitamente definito come un Application Firewall (WAF).
(Nota le differenze tra un IDS / IPS di rete e un WAF: link )
I firewall di applicazioni Web sono generalmente progettati per prevenire e rilevare / avvisare, sebbene abbiano la capacità chiave di analizzare il traffico Web per sospette attività dannose. Come regola generale, sembrano includere funzionalità di registrazione e avviso oltre alla prevenzione.
Alcune soluzioni potenziali includono:
Un elenco di WAF da OWASP: link
Questi sono esempi di implementazioni popolari piuttosto che raccomandazioni personali.