Initial SOC memory POC implementation

docs/data-model.md

@@ -0,0 +1,138 @@
+# Data Model
+
+## 目标
+
+这个数据模型面向 SOC case 研判辅助场景，不追求全量归档，而强调高价值记忆抽取。
+
+## 数据分层
+
+### 1. Knowledge Memory
+
+适用内容：
+
+- KB
+- Playbook
+- 月报摘要
+- 报告摘要
+- PO
+- 检测规则说明
+
+特点：
+
+- 偏稳定、可复用
+- 面向方法、知识、模式
+- 适合长期保存
+
+建议字段：
+
+- `id`
+- `title`
+- `source_type`
+- `summary`
+- `tags`
+- `entities`
+- `ttp`
+- `confidence`
+- `updated_at`
+
+### 2. Case Memory
+
+适用内容：
+
+- 历史 case
+- 最终研判结论
+- 关键证据
+- 误报 / 真报模式
+- 处置建议
+
+特点：
+
+- 面向具体案例
+- 适合检索相似 case
+- 是 POC 阶段最重要的数据层
+
+建议字段：
+
+- `case_id`
+- `title`
+- `alert_type`
+- `verdict`
+- `summary`
+- `key_evidence`
+- `entities`
+- `detection_logic`
+- `lessons_learned`
+- `source_links`
+
+### 3. Process Memory
+
+适用内容：
+
+- agent 中间步骤
+- 工具调用结果
+- 推理路径
+- 临时分析结论
+
+特点：
+
+- 生命周期短
+- 价值不均匀
+- 只应抽取高价值部分转化为长期记忆
+
+建议字段：
+
+- `session_id`
+- `step_id`
+- `tool_name`
+- `observation`
+- `intermediate_conclusion`
+- `value_score`
+- `timestamp`
+
+### 4. Profile / Preference Memory
+
+适用内容：
+
+- analyst 偏好
+- 默认输出风格
+- 常用研判路径
+
+特点：
+
+- 数量小
+- 用于个性化辅助
+
+建议字段：
+
+- `user_id`
+- `preference_type`
+- `value`
+- `scope`
+
+### 5. Session Memory
+
+适用内容：
+
+- 当前 case 的上下文
+- 当前轮对话、当前任务的临时缓存
+
+特点：
+
+- 强时效
+- 默认不长期保留
+
+建议字段：
+
+- `session_id`
+- `task_id`
+- `active_entities`
+- `active_hypotheses`
+- `recent_observations`
+- `expires_at`
+
+## 设计原则
+
+- 原始材料不直接当记忆
+- 只沉淀对后续研判有帮助的高价值信息
+- Process Memory 默认短期，经过抽取后才升级为长期记忆
+- Knowledge 与 Case 是 POC 阶段优先建设的两层