# Data Model

## 目标

这个数据模型面向 SOC case 研判辅助场景，不追求全量归档，而强调高价值记忆抽取。

## 数据分层

### 1. Knowledge Memory

适用内容：

- KB
- Playbook
- 月报摘要
- 报告摘要
- PO
- 检测规则说明

特点：

- 偏稳定、可复用
- 面向方法、知识、模式
- 适合长期保存

建议字段：

- `id`
- `title`
- `source_type`
- `summary`
- `tags`
- `entities`
- `ttp`
- `confidence`
- `updated_at`

### 2. Case Memory

适用内容：

- 历史 case
- 最终研判结论
- 关键证据
- 误报 / 真报模式
- 处置建议

特点：

- 面向具体案例
- 适合检索相似 case
- 是 POC 阶段最重要的数据层

建议字段：

- `case_id`
- `title`
- `alert_type`
- `verdict`
- `summary`
- `key_evidence`
- `entities`
- `detection_logic`
- `lessons_learned`
- `source_links`

### 3. Process Memory

适用内容：

- agent 中间步骤
- 工具调用结果
- 推理路径
- 临时分析结论

特点：

- 生命周期短
- 价值不均匀
- 只应抽取高价值部分转化为长期记忆

建议字段：

- `session_id`
- `step_id`
- `tool_name`
- `observation`
- `intermediate_conclusion`
- `value_score`
- `timestamp`

### 4. Profile / Preference Memory

适用内容：

- analyst 偏好
- 默认输出风格
- 常用研判路径

特点：

- 数量小
- 用于个性化辅助

建议字段：

- `user_id`
- `preference_type`
- `value`
- `scope`

### 5. Session Memory

适用内容：

- 当前 case 的上下文
- 当前轮对话、当前任务的临时缓存

特点：

- 强时效
- 默认不长期保留

建议字段：

- `session_id`
- `task_id`
- `active_entities`
- `active_hypotheses`
- `recent_observations`
- `expires_at`

## 设计原则

- 原始材料不直接当记忆
- 只沉淀对后续研判有帮助的高价值信息
- Process Memory 默认短期，经过抽取后才升级为长期记忆
- Knowledge 与 Case 是 POC 阶段优先建设的两层