cccs/assemblyline-service-badlist Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

Badlist Service

该服务与Assemblyline的Badlist交互，用于将标签或文件标记为***。

服务详情

数据源

添加数据源时支持以下数据格式：

• csv
• hosts
• json

支持的源类型包括：

• blocklist（阻止列表）
• malware_family_list（***软件家族列表）
• attribution_list（归因列表）

阻止列表数据格式

需通过config.updater.<source>键配置数据源，指定源类型（blocklist）、格式（json|csv）及IOC类型（domain/ip/uri/md5/sha1/sha256/ssdeep/tlsh）的位置。

CSV格式示例（第3列包含uri）：

yaml
config:
  updater:
    my_source:
      type: blocklist
      format: csv
      uri: 2  # 列索引（从0开始）
      delimiter: ","

JSON格式示例（bad_uri键包含uri）：

yaml
config:
  updater:
    my_source:
      type: blocklist
      format: json
      uri: "bad_uri"  # JSON键名

Hosts文件格式（无需额外配置）：

yaml
config:
  updater:
    my_source:
      type: blocklist
      format: hosts

可通过score字段自定义匹配评分（默认1000分）。

自动过期

默认项目永久有效，可通过dtl（生存天数）配置过期时间。若多源包含同一项目，过期时间取最长DTL。

镜像变体与标签

基于Assemblyline服务基础镜像（Debian 11 + Python 3.11）构建，标签定义如下：

运行服务

本地测试

通过以下命令直接运行Docker镜像：

bash
docker run \
    --name Badlist \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-badlist

添加到Assemblyline部署

参考官方指南。

文档

Assemblyline通用文档：[***]