Dzisiejsze ataki oraz inne zagrożenia mają charakter międzynarodowy, rozwijają się bardzo szybko i wymagają ciągłej analizy anomalii ruchu sieciowego. O ile każdy z operatorów internetowych posiada swoje narzędzia monitoringu i odpowiedzi na pojawiające się anomalie, o tyle nie było dotąd systemu, który połączyłby jednoczesne monitorowanie ruchu w sposób zdecentralizowany, automatyczny i umożliwiający zablokowanie najpoważniejszych ataków, zanim ich skala radykalnie wzrośnie. Takim projektem jest paneuropejski DEMONS, który jest rozwijany przez 10 europejskich ośrodków naukowo-badawczych (NEC Europe, Consortium of Universities for Research we Włoszech, austriacki FTW: Research Institute, francuski Institut Telecom Education and Research, szwajcarski uniwersytet ETH Zürich, czeska firma INVEA Tech, grecki instytut ICCS oraz stowarzyszenie Singularlogic Information Systems and Software Applications Societe Anonyme, hiszpańska firma Optenet i szwarcajski podmiot Kyos SARL) i trzech operatorów telekomunikacyjnych: hiszpańska Telefonica, France Telecom oraz Telekomunikacja Polska, reprezentowana przez Orange Labs Poland.

Podstawą do opracowania założeń i wymagań była analiza zagrożeń, między innymi:

- Distributed Denial of Service (DDoS): wczesne wykrywanie rozproszonych ataków DDoS, identyfikacja ich źródeł i ograniczanie zasięgu ataku;

- wykrywanie botnetów: szybkie wykrywanie ataków (na przykład za pomocą analizy odpytań DNS lub strumieni ruchu) i charakterystyka źródła;

- zaufanie do VoIP: wykrywanie nadużyć połączeń, spamu VoIP, oszustw rozliczeniowych i awarii infrastruktury.

- współpraca IDS: kooperacyjne zbieranie alarmów i zdecentralizowana wstępna filtracja;

- statystyczne metody wykrywania anomalii: wykrywanie nadużyć na podstawie analizy statystycznej;

- inteligentne sieci GRID, które koncentrują się na nieklasycznych scenariuszach działaniach sieci IP i do których można zastosować metody używane w DEMONS.

Zadania, którym ma podołać DEMONS, dotyczą: transgranicznego monitorowania sieci, współdzielenia się informacjami o zagrożeniach, uwzględniania zasad ochrony prywatności i zaufania w poszczególnych krajach, dostarczenia narzędzi do ochrony, profilów zachowań domen, analizy, wykrywania i blokowania ataku z użyciem polityki blackhole, by blokować atak możliwie najbliżej źródła, w czasie rzeczywistym.

Jest to niezbędne do ochrony przed obecnymi atakami, które są rozproszone, a wydarzenia dalekie w topologii sieci mogą mieć poważne konsekwencje dla organizacji i pracy własnej sieci. Zatem obserwowanie pakietów, które są przesyłane na tzw. ostatniej mili (last mile), nie daje pełnego obrazu sytuacji i nie umożliwia sprawnej reakcji na globalne zagrożenia. W projekcie DEMONS przyjęto koncepcję interdomenowego wykrywania i analizy zagrożeń oraz ścisłej interdomenowej współpracy w zakresie obrony sieci i reakcji na ataki.