olemus
ründe liigile omane äratuntav tegevusmuster
süsteemis, sageli ilmneb logides

ISO/IEC 27039:
ründe sooritamise arvutitoimingute või -muutuste jada:
- võimaldab avastada ründe toimumist
- sageli tuvastatakse võrguliikluse või logide uurimisega

ülevaateid
https://www.first.org/resources/papers/conference2006/kijewski-piotr-slides.pdf

https://pdfs.semanticscholar.org/9867/5d7da90504c175fbb613163f4e5e6bb82cf2.pdf

näidiste andmebaas
https://www.symantec.com/security_response/attacksignatures/