По признаку попытки открыть соединение с разными портами за короткий промежуток времени. Т.е. допустим, к вам поступают пакеты на порты допустим с 10 по 1000 в течении одной минуты, ну этой явный перебор портов.
Вообще сейчас сканеры портов очень умные, сканируют определенные диапазоны и с определенной частотой, поэтому как правило выявить их сложно. Если вопрос в блокировке, то рекомендую вносить IP адрес в черный список, когда он пытается постучать в заведомо закрытый порт. Т.е. у вас SSH не на стандартном порту 22, а допустим на 222, если кто то стучит на 22 порт, вносим его в черный список сразу.