В основном это(по нашей статистике):
Сканирование портов; большое количество неудачных попыток ввода логина и пароля с одного IP адреса за короткий промежуток времени; приход на открытый порт данных не соответствующих - ожидаемых или превышающих установленный нами максимум (например: ждем данные в размере до 1мб, а приходит 10мб!); а так-же, если установленная нами ловушка срабатывает, считаем за попытку взлома.