olemus
ründe liigile omane äratuntav tegevusmuster süsteemis, sageli ilmneb logides

ISO/IEC 27039: ründe sooritamiseks kasutatav arvutitoimingute või -muutuste jada, mida ühtlasi kasutab sissetungi tuvastuse süsteem ründe toimumise avastamiseks ning mis sageli tehakse kindlaks võrguliikluse või hosti logide uurimisega

ülevaateid
https://www.first.org/resources/papers/conference2006/kijewski-piotr-slides.pdf

https://pdfs.semanticscholar.org/9867/5d7da90504c175fbb613163f4e5e6bb82cf2.pdf

http://ai2-s2-pdfs.s3.amazonaws.com/6074/ff54258791eac7e23b40cb095470828b3f55.pdf

https://support.f5.com/csp/article/K10726

näiteid (andmebaas)
https://www.symantec.com/security_response/attacksignatures/