Eu não acredito que isso seja possível de qualquer outra forma que você descreveu no nível do ELB.
Você pode usar o firewall em cada instância (por exemplo, iptables) para bloquear determinados endereços IP ou até mesmo para definir o limite de conexões por minuto / segundo para o endereço IP.
Dessa forma, você pode bloquear invasores automaticamente.
Além disso, você pode usar ferramentas como Chef / Puppet para propagar sua configuração de firewall para cada instância.