Die Architektur sieht vor, dass unterschiedliche Arbeitsbereiche des Nutzers je nach Anwendung in unterschiedliche Compartments aufgeteilt werden. Hierbei soll durch individuelle Restriktionen der Ressourcen das Sicherheitslevel bestimmt werden (Security Domain). Eine Kommunikation der einzelnen Compartments soll dabei nur über fest definierte Schnittstellen möglich sein, so dass bei einem Befall durch Malware deren Ausbreitung eingedämmt werden kann. Dieses Vorgehen schützt ebenfalls die analysierende Sicherheitssoftware des Systems (Supervisor Domain). Innerhalb dieser Domain findet die lokale Datenaufbereitung der einzelnen Sensoren statt. Hierbei ist ein besonderer Schwerpunkt auf die Erforschung und Entwicklung innovativer Mechanismen der Anomalieerkennung gelegt.