Kiến trúc gồm 4 lớp chức năng: Hạ tầng ảo & cảm biến, Giám sát & tương quan, Phân tích, và Ra quyết định & bộ kích hoạt.

• Áp dụng mô hình Endsley gồm 3 giai đoạn: nhận biết (perception), hiểu (comprehension), và dự đoán (projection).
• - Cảm biến (NFV-Apps) giám sát các chỉ số mạng như QoS, tấn công DDoS, botnet… và có thể tái cấu hình linh hoạt.
• - Phân tích tình huống chia thành hai loại: sự kiện (discovery, removal, modification, notification) và rủi ro (bottleneck, malware…).
• - Áp dụng các tiêu chuẩn ISO/IEC 27000, NIST-SP800, CVSS, MAGERIT để đánh giá rủi ro, nhưng được điều chỉnh cho phù hợp với đặc thù 5G.
• - Hệ thống sử dụng bản đồ rủi ro, dự đoán theo chuỗi thời gian, và chẩn đoán nâng cao bằng mạng Bayesian để xác định mức độ đe dọa lan truyền.
• - Cơ chế theo dõi biện pháp khắc phục (countermeasure tracking) sử dụng hệ thống quản lý sự cố (ITS) để ghi nhận, đánh giá và tối ưu hóa phản ứng.
• - Các hành động khắc phục được triển khai qua các NFV-Apps như firewall, honeypot, sinkhole… dưới sự điều phối của bộ điều phối (orchestrator).
• - Kiến trúc hướng đến giảm chi phí vận hành, tăng khả năng tự động hóa và cải thiện chất lượng trải nghiệm người dùng trong mạng 5G.