Un punto di partenza ragionevole potrebbe essere la verifica di quale sia lo User-Agent per le richieste che ti interessano.
Mi aspetterei che sia forgiato, ma potrebbe essere forgiato in un modo che è ancora identificabile.
Potresti anche prendere in considerazione la profilazione di alcuni probabili colpevoli (mi aspetterei almeno alcuni strumenti per avere una sequenza prevedibile di attacchi), eseguendoli contro un'istanza di test del WAF e raccogliendo i log e gli avvisi.
Non sono del tutto sicuro, però, che tu voglia preoccuparti di quale script sta facendo cosa, tanto quanto gli attuali attacchi (e quali sono rilevanti per te).
Anche se posso vedere come sarebbe una cosa interessante da sapere.