Surveiller les intrusions, où du moins les tentatives, vaste sujet.
JDH résume la problématique de l'exploitation d'un IDS. Ceci en supposant que la partie détection et surveillance soit bien adapté au contexte, le problème de l' exploitation et de la réaction sur les alertes reste entier.
La surveillance des ports ne vous donneras pas grand chose. L'immense majorité des intrusions réussies menant à une compromission partielle ou totale du système d'information sont le fait de failles applicatives bien exploitées. Donc du trafic sur des ports ouverts de façon licite. Je doute que l'observation des ports vous informe de la mise en œuvre d'une tentative d'exploitation d'un débordement de tampon (buffer overflow). A a partir du moment où la cible est bien qualifiée et le code d'exploitation disponible il faut moins d'une minute pour prendre le contrôle de la machine visée. Avec les bons outils. N'importe quel programme en apparence inoffensif peut vous exposer, comme un simple Acrobat Reader ou un logiciel de sauvegarde.
Un de mes clients dispose d'un monitoring sécurité 24/7 avec temps de réaction garantit de 15 mn sur alerte critique. Tout cela est situé chez un hébergeur en banlieue parisienne alors que les cellules de monitoring sécurité sont réparties sur deux autres payes en Europe. L'hébergeur est aussi propriétaire de quelques milliers de kilomètres de liaisons en fibre optique. Cela vous donne une idée de l'ampleur des moyens nécessaires.
Plus raisonnablement il y a mieux à faire en déployant avec le maximum d'efficacité les outils disponible comme le firewall et … le jus de cerveau appliqué à une bonne conception de l'architecture, à de bonnes procédures d'exploitation et de réaction sur incident.