139 lines
1.9 KiB
Markdown
139 lines
1.9 KiB
Markdown
# Data Model
|
|
|
|
## 目标
|
|
|
|
这个数据模型面向 SOC case 研判辅助场景,不追求全量归档,而强调高价值记忆抽取。
|
|
|
|
## 数据分层
|
|
|
|
### 1. Knowledge Memory
|
|
|
|
适用内容:
|
|
|
|
- KB
|
|
- Playbook
|
|
- 月报摘要
|
|
- 报告摘要
|
|
- PO
|
|
- 检测规则说明
|
|
|
|
特点:
|
|
|
|
- 偏稳定、可复用
|
|
- 面向方法、知识、模式
|
|
- 适合长期保存
|
|
|
|
建议字段:
|
|
|
|
- `id`
|
|
- `title`
|
|
- `source_type`
|
|
- `summary`
|
|
- `tags`
|
|
- `entities`
|
|
- `ttp`
|
|
- `confidence`
|
|
- `updated_at`
|
|
|
|
### 2. Case Memory
|
|
|
|
适用内容:
|
|
|
|
- 历史 case
|
|
- 最终研判结论
|
|
- 关键证据
|
|
- 误报 / 真报模式
|
|
- 处置建议
|
|
|
|
特点:
|
|
|
|
- 面向具体案例
|
|
- 适合检索相似 case
|
|
- 是 POC 阶段最重要的数据层
|
|
|
|
建议字段:
|
|
|
|
- `case_id`
|
|
- `title`
|
|
- `alert_type`
|
|
- `verdict`
|
|
- `summary`
|
|
- `key_evidence`
|
|
- `entities`
|
|
- `detection_logic`
|
|
- `lessons_learned`
|
|
- `source_links`
|
|
|
|
### 3. Process Memory
|
|
|
|
适用内容:
|
|
|
|
- agent 中间步骤
|
|
- 工具调用结果
|
|
- 推理路径
|
|
- 临时分析结论
|
|
|
|
特点:
|
|
|
|
- 生命周期短
|
|
- 价值不均匀
|
|
- 只应抽取高价值部分转化为长期记忆
|
|
|
|
建议字段:
|
|
|
|
- `session_id`
|
|
- `step_id`
|
|
- `tool_name`
|
|
- `observation`
|
|
- `intermediate_conclusion`
|
|
- `value_score`
|
|
- `timestamp`
|
|
|
|
### 4. Profile / Preference Memory
|
|
|
|
适用内容:
|
|
|
|
- analyst 偏好
|
|
- 默认输出风格
|
|
- 常用研判路径
|
|
|
|
特点:
|
|
|
|
- 数量小
|
|
- 用于个性化辅助
|
|
|
|
建议字段:
|
|
|
|
- `user_id`
|
|
- `preference_type`
|
|
- `value`
|
|
- `scope`
|
|
|
|
### 5. Session Memory
|
|
|
|
适用内容:
|
|
|
|
- 当前 case 的上下文
|
|
- 当前轮对话、当前任务的临时缓存
|
|
|
|
特点:
|
|
|
|
- 强时效
|
|
- 默认不长期保留
|
|
|
|
建议字段:
|
|
|
|
- `session_id`
|
|
- `task_id`
|
|
- `active_entities`
|
|
- `active_hypotheses`
|
|
- `recent_observations`
|
|
- `expires_at`
|
|
|
|
## 设计原则
|
|
|
|
- 原始材料不直接当记忆
|
|
- 只沉淀对后续研判有帮助的高价值信息
|
|
- Process Memory 默认短期,经过抽取后才升级为长期记忆
|
|
- Knowledge 与 Case 是 POC 阶段优先建设的两层
|