Ez nyilván nagyon függ attól, hogy mi van az adatbázisban, de pl ilyen portáloknál szerintem nulladik körben már ha csak azt a kontentet nézed, ami kb 1-1-ben megváltozott, az már bőven ki tud szűrni mindenféle gyanús szart. Illetve ha a file, vagy vmi olyasmi, nem tudja róla érdemben megmondani, hogy mi ez (vagy megváltozik), az is.
Ezek egyébként imho fájl alapúakra is működnek jó eséllyel.
Meg hát lehet mindenféle anomáliákat nézni, eleve, ha régit piszkálnak, az gyanús, ha hirtelen többet, mint szoktak, akkor főleg, drasztikus méret változás szintén.
De nyilván kicsit végiggondolva lehet ezt szofisztikálni erősen...