Ну а чего тут думать =) не нужен никакой алгоритм, достаточно проверять uri запрошенные пользователем. Если антихак планируется как отдельное ПО, да и вообще, для экономии ресурсов, проще это делать постфактум. По крону раз в час. Скрипт бегает по логам в указанном месте и анализирует их на наличие запросов по словарю cgi уязвимостей, попыток mysql-inj, php-inj, xss, svn(git, hg, bzr etc) bug итп. Вот и всё.