Vemte sniffer, pakety odchytejte, zanalyzujte a signaturu máte na světě. Samozřejmě lepší by byla hotová veřejná databáze takových signatur, bohužel já zatím na žádnou nenarazil (což neznamená, že neexistuje), vyjma databáze signatur pro útoky/červy/balast (http://www.snort.org).
Asi před rokem jsem navrhoval vývojářům RouterOS, aby zapracovali signatury pro nejběžnější protokoly. Bylo mi řečeno, že sedmá vrstva pro ně zatím není priorita a že jsou i důležitější věci, škoda. Zatím si tedy musíme vystačit jen s možností zadávat vlastní "content".
Pokud někoho problematika sedmné vrstvy a RouterOS zaujala, navrhuju založit samostatné forum a podělit se o zkušenosti.