Ich habe nur drei Hosts bei unterschiedlichen Providern und versuche, die Beobachtungen bei den Hosts zu koppeln.

Das hat zwar was von Eigenbrötlerei, kann aber ganz einfach sein: Du filterst mit grep, sed und cut die geblockten IPs aus (sudo iptables -L kann hilfreich sein, wenn Du so Root-Rechte erlangen kannst) - auch das hier kommt in Betracht - und stellst die auf den jeweiligen Hosts in eine via http[s] abrufbare Datei ein.

Den Rest besorgt dann das Skript, auf welches ich bereits verwiesen habe. Du musst nur die URLs für Deine eigenen Listen hinzufügen.

Mehr würde es mir aber helfen, Zahlen und Fakten lesen zu dürfen. "Grundrauschen" sollte statistisch konstant sein.

Du kannst bei blocklist.de allerhand nachlesen. Auch Statistiken. Da steht auch, wer da (wie) mitmacht.

Im Übrigen ist ein "Rauschen" nie wirklich konstant. Wenn eines der Skriptkiddies auf eine für toll gehaltene Idee kommt, dann grasen dessen Skripte ganz bewusst ganz bestimmte IP-Adressbereiche, z.B. die bekannten Netzbereiche mit den Kundenservern bei strato, 1und1, hosteurope und sonstwem ab. Das hat eben solche "Lastspitzen" zur Folge, wie die, die Dich ängstigt. Da muss man als Admin auch mal eine breite Brust und Vertrauen in sich haben können und sich nicht so aufregen, wie Du es durch den Gebrauch von Überschriften dokumentierst.

Es ist im Übrigen ziemlich wahrscheinlich, dass die von Dir gesehenen Aktionen über Tor kommen. Du solltest einen Blick auf die Tor-Exits haben. Ob Du diese pauschal sperren willst oder von den Sperren ausnimmst musst Du entscheiden.