摘要：人工智能在现代网络安全中扮演核心角色，但仅针对检测准确率优化的系统往往缺乏可问责性(accountability)、透明性(transparency)及策略合规性(policy compliance)机制。本研究提出Agentic AI框架(AAgentic AI Framework, AAIF)，一种策略感知的入侵检测架构，将预测建模与可执行治理(executable governance)相融合。基于设计科学研究(Design Science Research, DSR)方法，该框架将深度学习检测模型与对齐于NIST AI Risk Management Framework 2.0之治理层相结合。其核心组件为可解释的Policy Engine（策略引擎），通过声明式YAML领域特定语言(domain-specific language, DSL)强制执行操作与伦理约束，确保每项决策均可审计且符合策略。研究人员在含逾280万条网络流记录的CICIDS2017数据集上评估该框架，结果表明AAIF在加权F1-score达0.483、AUROC达0.978的情况下，保持了与随机森林(Random Forest)、支持向量机(Support Vector Machine, SVM)及深度神经网络(Deep Neural Network, DNN)基线相当的预测性能；同时，在既定策略模式下实现完全合规——伦理合规率(Ethical Compliance Rate, ECR)为1.0，错误升级率(False Escalation Rate, FER)为0.0，治理合规指数(Governance Compliance Index, GCI)从0.947提升至0.983，证明系统决策与治理要求契合度更强。研究结果表明，策略强制推理(policy-enforced inference)可在不降低检测能力前提下支撑可问责自主性(accountable autonomy)。AAIF提供了一种可复现且治理感知的方法，将传统入侵检测系统转化为透明、可审计的决策系统，为在网络安防环境中部署策略对齐AI奠定了实践基础。

现代网络安全广泛采用基于机器学习(machine learning, ML)与深度学习(deep neural network, DNN)的入侵检测系统(intrusion detection system, IDS)，其在识别复杂攻击模式上优于传统基于签名(signature-based)的规则系统。然而，现有高精度IDS普遍存在三方面局限：一是缺乏可解释性与可追溯性，难以说明决策依据；二是未内嵌治理(governance)与伦理约束，自动化阻断或告警可能违反机构政策或隐私法规；三是NIST AI Risk Management Framework(AI RMF) 2.0等治理框架仅为描述性指导，未被实现为推理过程中的可执行逻辑(executable logic)。高检测准确率并不保证可问责决策(accountable decision-making)，模型输出直接执行会导致无法审计与验证。为此，研究人员开展此项研究，提出将治理逻辑嵌入推理管线(inference pipeline)的Agentic AI Framework (AAIF)，以验证策略强制执行推理既能保持检测性能，又能实现完全策略合规与审计追溯。

研究人员采用设计科学研究(Design Science Research, DSR)六阶段法（问题识别、目标定义、设计与开发、演示、评估、交流）构建AAIF工件。实验数据为公开CICIDS2017数据集（约283万条网络流记录，80个特征，10类标签——良性及各攻击类型），按时间顺序切分——周一至周四上午训练、周四下午验证、周五测试——以模拟真实部署并避免时间泄露(temporal leakage)。基线模型包括Random Forest、Linear SVM（概率校准）及2层256单元ReLU+Dropout+AdamW优化的DNN。AAIF在DNN基础上叠加治理推理层：用YAML声明式领域特定语言编码策略规则（含置信度阈值约束、误报率上限、审计日志留存），由Policy Engine在推理时对模型预测逐条评估——合规则采纳，不合规则触发纠正动作（如标记人工复核flag_for_review或限制动作restrict_action），所有决策写入审计账本(audit ledger)记录时间戳、输入哈希、适用规则及合规评分。治理维度显式映射NIST AI RMF四大功能（Govern, Map, Measure, Manage）。评价指标兼顾常规ML指标（加权F₁-score、AUROC、Expected Calibration Error, ECE）与治理指标——Ethical Compliance Rate (ECR)、False Escalation Rate (FER)、Governance Compliance Index (GCI = Σw_i×c_i，i对应NIST四维度加权)、Resilience Index (RI²= 1?Var_t(ECR_t))、Cyber-Adaptive Score (CAS)；统计验证采用Bootstrap置信区间(1000次)、单因素ANOVA、McNemar检验及阈值敏感性消融实验。

研究人员对比RF（加权F₁=0.4707, AUROC=0.962）、Linear SVM（F₁=0.4368, AUROC=0.951）、DNN基线（F₁=0.483, AUROC=0.978, GCI=0.947, ECR=0.993, FER=0.007）与AAIF配置。AAIF保持DNN基线的F₁=0.483与AUROC=0.978（p>0.05无显著退化），ECR升至1.000，FER降至0.000，GCI升至0.983，RI²升至0.995，CAS升至0.547。结论：策略层不损检测性能且全面提升治理对齐与跨时段稳定性。

基线模型仅有部分策略契合（RF ECR=0.948/FER=0.032；SVM ECR=0.982/FER=0.014；DNN ECR=0.993/FER=0.007），而AAIF在定义策略模式下达到ECR=1.0、FER=0.0，GCI与RI²均最高。结论：推理期强制策略约束使所有决策满足治理规则且无过度升级，跨时段合规变异最小。

混淆矩阵显示DNN在Benign及高频攻击类（DoS、WebAttack）检测良好，少数类因不平衡有误判；可靠性曲线ECE≈0.41表明DNN过置信(overconfident)，AAIF策略层对低置信预测施加人工复核约束以缓和此偏差；F₁?ECR散点图显示AAIF位于全合规且性能无损象限；Agentic Action分布以block为主（保守策略），辅以alert与allow。结论：可视化印证治理约束与检测性能可共存，决策受模型输出与策略共同驱动。

调变升级置信阈值τ∈[0.70, 0.99]，τ≥0.95时FER↓、ECR↑、少类召回微降；τ≤0.85时召回↑、少数低置信触发略降合规精度；全区间ECR>0.98。结论：治理层是可调控制旋钮(knob)，操作员可独立于底层模型调节检测灵敏度与合规严格度间权衡。

Bootstrap与McNemar检验表明AAIF与DNN基线预测分布无显著差异(p>0.05)，治理指标跨重抽样稳定。结论：策略层具确定性且不为随机噪声源，不改变原模型统计属性。

综合上述，AAIF在维持竞争力检测性能同时实现全策略合规、高可追溯性与跨时段稳定治理行为，策略层可独立更新无需重训模型。

讨论部分指出：假设H₁获支持——治理逻辑嵌入推理可达完全合规且不降性能；H₂获支持——策略强制推理改善不确定下稳定性（RI²升高）；H₃获支持——可调阈值实现精度—合规可控权衡。Policy Engine将概率输出转为带理由与引用规则之策略感知决策，支持SOAR/SOC中运行时合规验证及跨域适配（仅需改YAML规则）。局限性含CICIDS2017为基准环境、YAML规则具主观阈值设定、每推理规则检查引入微延迟（可用异步/缓存缓解）、单数据集单固定策略需后续多数据集与动态策略验证。

本研究提出Agentic AI Framework (AAIF)，一种将数据驱动入侵检测与可执行治理逻辑集成为可问责可靠网络防御的架构。通过在ML/DL管线嵌入策略感知决策层，框架赋予传统IDS透明可审计决策能力。CICIDS2017上实验表明AAIF在保持DNN基线加权F₁-score=0.483、AUROC=0.978的同时，于定义策略模式下达成ECR=1.0、FER=0.0，GCI与RI²显著提升，证明基于策略之治理可融入推理过程而不减损检测能力。除定量结果外，AAIF展示模型推理与治理强制之结构化分离——声明式YAML策略模式使决策可按显式规则评估、追溯与解释，并将系统行为与NIST AI RMF等框架治理要求对齐。框架通过模块化实现与受控实验设计强调可复现性。AAIF阐明治理感知推理如何纳入网络安全系统以支持可问责透明决策，表明在推理阶段集成策略约束是将AI从概念治理框架推向可执行系统设计、弥合政策与运行智能鸿沟的可行路径。