Поиск признаков несанкционированного доступа к VPS-серверу, используемому для решения какой-то "целевой задачи". На текущий момент мы можем создать свой сервер внутри локальной сети (пусть это будет якобы арендованная VPS), на который мы накатываем дистрибутив (насколько мне известно, популярным решением является CentOS). Выбираем простейшую аномальную активность (например, сканирование портов через nmap). Изучаем штатный функционал системы, позволяющий логировать подобные события. Пишем обработчик логов. Можно еще несколько простых открытых TCP сокетов сделать (типа honeypod). Итог - у нас есть сервер, позволяющий решать поставленную задачу.