а вы snort (
www.snort.org) не используете? или какой-ить другой IDS?
принцип простой - есть правила. если идут пакеты, попадающие под правила - отрубить айпишник.
инфа того же снорта экспортируется и может быть использована провайдером и выше, по иерархии...