Barrapunto

no tengo seguro [...] que los exploits [...] sean inevitables

Dados los cada vez mayores beneficios (económicos) derivados de los exploits, su creación es básicamente inevitable, sí.

reconocer y detectar el comportamiento de un software de exploit concreto

Igual que con los virus, sólo hay dos formas de protección por parte de una suite de seguridad:

1. Preventiva: encerrando el software en una máquina virtual y perdiendo entre un 50% y 90% del rendimiento
2. Reactiva: actualización de firmas aplicada entre 12 horas y 200 días más tarde, cuando el exploit ya ha hecho de las suyas

Todo lo demás son mezclas intermedias más o menos efectivas, normalmente menos.

Incluso, los mismos parches que podrían corregir estas vulnerabilidades, es casi seguro que ya estén llegando tarde. Publicados hace una semana, descubiertos mucho antes, explotados seguramente pocos días después de la publicación, aplicados... pues mira, yo mismo tengo Core 2 y todavía no me he bajado el parche.

Mira, lo de que en una máquina virtual se pierde entre el 50% y el 90% del rendimiento es pura ciencia ficción.
Está bien claro que no has usado nunca virtualización o que, si la has usado, no sabes como configurarla.
Las pérdidas de rendimiento fluctuan alrededor del 10% y el 15%, al menos en las pruebas que yo he hecho en mi servidor, utilizando un VMWare bien configurado, con dos openSuSE y un 2003 server virtualizados.