Az informatikai rendszerek elleni támadások gyakran belülről, a rendszert üzemeltető cég vagy szervezet munkatársai felől érkeznek. Az ilyen belső támadások detekciója nehéz feladat, ugyanakkor a belőlük származó kockázatok és veszteségek jelentősek lehetnek. Ezért fontos feladat a belső támadások detekciója, melynek jól ismert módja a felhasználók viselkedésének megfigyelése, napló állományokban történő rögzítése, majd a napló fájlok elemzése, és anomáliák azonosítása. A hallgató feladata egy felhasználói viselkedést megfigyelni és elemezni képes rendszer tervezése és implementációja vállalati környezetben, alapvetően a napló-elemzésre, mint eszközre támaszkodva, gyanús, támadásra utaló viselkedési minták azonosítása céljából. 

A fentiekhez kapcsolódóan a hallgatónak legalább a következő alfeladatokat kell elvégeznie:

• Az ismertebb naplózó alkalmazások bemutatása, összehasonlítása, ezek közül egynek a részletesebb tanulmányozása, majd alkalmazása.
• Tesztkörnyezet kialakítása, ami egy fiktív szervezet hálózatából és IT eszközeiből áll, és melynek felhasználói különféle szerepköröket valósítanak meg, így különböző viselkedési mintákat produkálnak.
• Detektálni kívánt viselkedési minták specifikációja, azokra adandó válaszok definiálása.
• Potenciálisan a valós életben is előforduló esetek, incidensek szimulálása és a detekció hatékonyságának vizsgálata a tesztkörnyezetben.
• Eredmények kiértékelése, tapasztalatok összegzése.