推荐问答
最新问答
待回答
  • 1 个回答
    滑动验证码可以显著优化用户体验,这在互联网时代是非常重要的。 滑动验证码对机器的判断,不只是完成拼图,前端用户看不见的是——验证码后台针对用户产生的行为轨迹数据进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息,快速、准确的返回人机判定结果,故而机器识别+模拟不易通过。 滑动验证码也不是万无一失,但对滑动行为的模拟需要比较强的破解能力,毕竟还是大幅提升了攻击成本,而且技术也会在攻防转换中不断进步。 在这里可以推荐试用:网易云提供 智能验证码_网站验证码_图片验证码_验证码接口_滑动验证码,接口稳定性 99.9%,感知威胁可智能切换验证难度,欢迎免费试用。
  • 1 个回答
    验证码之所以存在,就是为了防止机器的自动识别,当某种验证码的自动识别软件烂大街的时候,这种验证码技术也该被产品开发团队打入冷宫了,该软件存在的价值,也就只剩下编程考古了。 其实,验证码自动识别的工具并不是没有,网上有不少采用大厂的 OCR API 实现验证码自动识别的博文,用于爬取数据之类的场景,但图像识别技术的进步,也倒逼着打码技术的进步。 所谓简单型的验证码,前景和背景容易分离、多位字符串容易切割的,传统的 SVM (支持向量机)就可以轻松搞定。复杂的验证码,使用这几年风光的 CNN(卷积神经网络)也能将其斩于马下,然而再强大的 CNN 也依赖于大量的标注数据。如果要做到 90% 以上的识别率(90% 对于很多使用者来说还是很渣的),可能需要数以万计的样本,和比较长的训练时间。训练成功,平台认为之前的打码方式被破解后,又会提升难度或者换一种思路,别有用心的攻击者又要重新标注数据,重新训练……投入的成本,能否产生足够的利益呢?这是他们需要考虑的问题。 深度学习能力增强的同时,现在的验证码技术也衍生出了更为丰富的方式,比如B站,已经采用了滑动拼图验证码。 [图片] 以网易云为例,他们提供的云安全验证码,可对外提供4种类型的验证码,滑动拼图、图中点选、短信上行验证为常规验证体系,智能无感知验证码为独立的验证体系。 [图片] 网易云常规验证体系 [图片] 网易云智能无感知验证码 云安全验证码抛弃了传统字符型验证码展示-填写字符-比对答案的流程,采用验证码展示-采集用户行为-分析用户行为流程,用户只需要产生指定的行为轨迹,不需要键盘手动输入,极大优化了传统验证码用户体验不佳的问题;同时验证码后台针对用户产生的行为轨迹数据进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息,快速、准确的返回人机判定结果。 灵活采用这些打码技术,可以更为有效地防御攻击,同时保证用户体验。欢迎免费试用。
  • 1 个回答
    市场调研是一个系统的具有逻辑的行为,其中的数据分析更是占据了市场调研的工作量中的一大部分,对于市场调研的必要性和目的性,在这里需要补充强调说明一点:就是调研数据的可视化! 调研结束了,数据也分析了,但是怎么样才能让老板看着明白,看着爽呢,那就需要数据可视化了。 对于数据可视化,比较推荐使用成熟的商业可视化BI工具,如果有智能分析或者辅助功能更赞,毕竟谁都不是数据分析专业出身,很多不懂不知道的,也不能一直百度谷歌,所以产品自带智能分析功能是最好不过的,推荐大家尝试一下网易有数,具有SaaS版本,还可以私有部署,同时可以网络协作,最关键的是,别看还不知道这是干什么的,但是人家有智能!不管你是初创还是成熟公司,保证数据安全,提高工作效率,增加员工老板满意度。 其中包含了所有数据分析所需要的图表类型,不要担心不够用,而且制作过程只是简单的拖拽就可以实现了: [图片] 比如制作一些分析: [图片] 对调研对象的贡献或者重要度进行分析: [图片] 在制作的时候: 动一动,拖一拖,点一点,市场调研的数据分析可视化就做出来了。 还具备智能功能。 在老板“视察”的时候: 老板鼠标动一动,点一点、拖一拖、滚一滚就可以报表全览: 比如桑基图,可以明显地看到每一种用户的转换和选择: [图片] 比如方块图,可以分门别类的看到不同的人占用多少比例,这些人中不同的特征又占用了多少比例。 [图片] 再比如趋势比例联动: [图片] 诸如此类的联动下钻等等,再加上许多的交互设置,可以产生很友好,让老板很赏心悦目的报告,这是市场调研的终极一步,也是数据分析的终极一步。 利益相关:网易有数定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%,欢迎免费试用。
  • 1 个回答
    对于数据可视化,比较推荐使用成熟的商业可视化BI工具,如果有智能分析或者辅助功能更赞,毕竟谁都不是数据分析专业出身,很多不懂不知道的,也不能一直百度谷歌,所以产品自带智能分析功能是最好不过的,推荐大家尝试一下网易有数,具有SaaS版本,还可以私有部署,同时可以网络协作,最关键的是,别看还不知道这是干什么的,但是人家有智能!不管你是初创还是成熟公司,保证数据安全,提高工作效率,增加员工老板满意度。 其中包含了所有数据分析所需要的图表类型,不要担心不够用,而且制作过程只是简单的拖拽就可以实现了: [图片] 比如制作一些分析: [图片]对调研对象的贡献或者重要度进行分析: [图片] 在制作的时候: 动一动,拖一拖,点一点,市场调研的数据分析可视化就做出来了。 还具备智能功能。 [图片] 在老板“视察”的时候: 老板鼠标动一动,点一点、拖一拖、滚一滚就可以报表全览: 比如桑基图,可以明显地看到每一种用户的转换和选择: [图片] 比如方块图,可以分门别类的看到不同的人占用多少比例,这些人中不同的特征又占用了多少比例。 [图片] 再比如趋势比例联动: [图片] 诸如此类的联动下钻等等,再加上许多的交互设置,可以产生很友好,让老板很赏心悦目的报告,这是市场调研的终极一步,也是数据分析的终极一步。 网易有数定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%,欢迎免费试用。
  • 1 个回答
    扫描器都是各玩各的,每个扫描器都有自己的优势和劣势。 综合来看做的好的有AWVS, nessus, nmap等,其实Burpsuite也挺不错的; 像AppScan这种,虽然能扫描到一些其他的点,但是扫描效率太低; 二次开发的话开源的扫描器都可以参考,AWVS也是不错的,但是要集成一个漏扫平台,并不建议,维护会非常高,而且每个扫描器的报告和漏洞等级都是不同的,报告会比较折腾; 同时其他扫描器升级之后可能会影响原有结果,不升级可能检测不到最新的问题。综合来看,建议购买一个扫描器服务。 利益相关:网易云提供渗透测试服务,感兴趣的朋友欢迎点击免费试用。
  • 1 个回答
    虽然 ML.NET 还是 v0.1,但这本身就是一个好消息:.NET 开发者与时俱进拥抱机器学习的门槛再次降低。 对于编程工作而言,开发人员越来越需要了解人工智能的作用,需要在应用中集成机器学习的能力; 对于 .NET 开发者而言,微软爸爸的关怀一直都在,调优机器学习模型,不用上xxx培训班,使用现有的 .NET 和 C# 技能就行(当然专门搞机器学习还是建议精通 Python); 对于微软而言,新 CEO 将开放进行到底,坚持跨平台和开源,对建设微软开发生态、吸引新用户、提升用户忠诚度都是好事; [图片] 对于基础工具软件而言,只能说一句——开源万岁!微软聪明地利用社区的力量来实现自己的目的,减少人力投入的需要,同时也让软件更符合用户的期待。 总而言之,要和其他机器学习项目竞争,需要看后续版本的特性、性能、易用性,但对 .NET 生态而言,项目本身还是不错的。
  • 1 个回答
    关于深度学习的理论,以及 NLP(自然语言处理)应用的突破,似乎是年年盼望了。2018 年,Explainability(可解释性)预计还是没有什么大的改进;Attention(注意力模型)确实迷人,NMT(神经机器翻译)有点新意,可 NLP 也还是任重道远,比起 CV、ASR 还差远了。 我认为,比较值得关注的: 一个是 Hinton 的 Capsule,不知道 2018 年会给我们带来什么惊喜——也许向量的方向真不好搞,但新思路的启发意义更大; 二是深度学习硬件,某司被制裁的前车之鉴,国产芯片的风口浪尖,足以刺激一波研发热潮,关键这个领域还比较新,期待本土的创业公司加油突破; 三是视频分析了,在视频业务风口以及监管压力的双重作用之下,相信企业当然很有兴趣通过算法来过滤不合规的视频,缓解审核的压力。 利益相关:网易云易盾,基于网易20年反垃圾专业经验,为您提供极速智能的文本、图片、视频、音频过滤云服务,欢迎免费试用。
  • 1 个回答
    手机的渗透测试可以分为3点: 1. 同Web安全渗透测试类似,需要对Server API和终端应用进行安全测试; 2. OS本身的特性或安全问题; 3. 应用被逆向破解,业务逻辑和信息被盗取; 第一块的问题也不少,很多做移动开发的工程师并不一定有Web安全的经验。 很多App都存在各种逻辑漏洞,比如App的流程依赖于响应内容且没有做校验。这一类的问题可以通过代理工具进行测试; 同样,很多应用对应的服务器也会有一些安全风险点,内部服务开放也可以是渗透的点; 第二块会有一些通用的漏洞,比如android老版本的webview代码执行,调试模式的一些安全问题;也会有一些开发习惯的问题,比如SSL证书配置的问题,SQL本地注入和日志信息泄露的问题等。 综合来讲,第二块涉及的问题和手机系统本身有很大关联,渗透测试过程中需要不断的积累知识库; 第三块其实是非常重要的,很多时候我们的一些重要业务逻辑会在应用中,如果被黑客或者竞争对手逆向破解,很可能导致商秘泄露或者破解版本的盛行等,导致业务发展受阻。 前两点通过自己渗透测试或者寻者渗透测试服务能够解决绝大部分风险; 最后一点比较复杂,自己实施的话建议业务注意前后端逻辑和关键业务逻辑充分分离,不过通常甲方安全工程师很难保证(业务逻辑性和人力审核成本),简单高效的方式就是购买加固服务。 利益相关:网易云易盾提供业内独特的App渗透测试服务(可免费试用),以攻击者的视角,模拟黑客攻击过程,对App(Android、iOS)客户端以及服务端进行深入探测,找出应用系统中存在的缺陷和漏洞,及早发现,及早预防。 整个测试过程分为四步: 1、方案设计:确定渗透测试的时间、方法、测试范围、应急预案等,对整个过程进行监控; 2、信息收集:收集网络拓扑结构,对目标系统进行分析,扫描探测,服务查点,查找系统IP等; 3、扫描渗透:综合收集的情报,借助工具找到目标系统漏洞,进行渗透入侵,从而获得管理权限; 4、检测报告:测试人员根据测试结果,输出渗透测试服务报告。内容包括安全状况、修复建议等。 此外网易云还提供相关应用加固服务,如Android 应用加固、iOS 应用加固等,可以点击免费试用。
  • 1 个回答
    精准营销的五个方面:在合适的时间、合适的地点、将合适的产品以合适的方式提供给合适的人。 想要通过数据分析达到精准营销,其重点在于,通过数据分析找到五个合适及其相互之间的关联,所以提供的方案一定是:我们针对XXX人群,在XXX时间,XXX地点进行XXX的营销方法,给与XXX的营销内容,预计XXX的成果。 首先如何通过数据分析确定什么是合适的人,这是精准营销的基础。 使用用户画像数据分析和用户行为数据分析。 方法有很多种,比如用户的RFM模型: [图片] 用户的访问频率划分等级: [图片] 用户贡献度分析: [图片][图片] 漏斗模型分析: [图片] 雷达图分析: [图片] 使用这些分析图表,形象直观的展示了人群的分布和目标人群的特征,可以针对人群考虑不同的精准营销策略。 然后怎么判断合适的时间、地点、产品、方式,这是精准营销的关键点。 使用交叉对照实验数据分析和历史数据分析。 判断什么是合适的营销策略,不是拍脑袋,也不是讨论就能够的出来的,只有根据历史营销策略表现和制定实验进行数据分析才是得到合适的时间、地点、产品、方式的最佳方法。 其中实验数据的分析和历史数据的分析对照是精准营销中选择合适的营销策略的关键点。 如何进行实验数据的分析呢?要知道实验数据是不断更新的,所以选择一款能够实时更新数据的分析软件尤为重要,省去了很多的拉取数据的时间,其次是实验数据要能够不断的下钻,因为实验的结果数据只是表象,内部的数据的表现才是导致数据结果的原因,如下图所示: [图片] 通过不断的下钻,才可以更准确的找到实验表现的原因。 历史数据的分析更主要的时通过对比来得出结论,加入到现在的市场或者营销环境的影响,得到根据历史数据预测的结果,可以进一步的指导下一步的流程。 最后,怎么使用数据分析来给出销售预测、库存预警、口碑监测等,这是精准营销的保障。 销售预测等可以在营销前期进行机器学习的预测等,网易有数里有对实时刷新的信息的线型预测功能,可以去试试看(点击这里可免费试用),对于库存预警或者是口碑检测这类实时监控可以用一些数据大屏进行,比如现场实时监控等: [图片] 整体来说,精准营销的困难点主要在于数据源的获取,如果数据源很有保障的话,后面做起来会很容易,其次就是对照试验的设置和进行,以及数据的分析,这是掌控着整个精准营销过程的关键,最后是实时监控,可以帮助营销人员实时观察营销情况,做出预警。
  • 1 个回答
    精准营销的 5W 模型,实质就是将目标客户分类(或者是分级),有针对性地制定营销策略。基于大数据的精准营销就是利用大数据技术来支持精确分类,预测营销效果,并根据执行结果、时效性持续改进策略。  我们对精准营销的期待,不外乎降低获客成本、提升营销效率,然而“精准”首先是深刻地理解市场和用户,这就不是低成本能够 hold 住的活儿,而大数据技术的应用让我们能够在把效率做好的同时降低成本(当然指望初期就降低成本需要很高的智慧)。   理解用户、区分用户,基于人口属性、生活习惯和消费行为的用户画像很重要,而提取用户画像需要处理海量的信息和行为日志,要花费大量时间和人力来做。不过,有了用户画像,除了制定精准的渠道策略,还可以实现如下目标:     用户研究:指导产品优化,甚至做到产品功能的私人定制等。 个性服务:个性化推荐,个性化搜索等。 业务决策:排名统计,地域分析,行业趋势,竞品分析等。 这些对精准营销的实施也是很有好处的。  大数据平台的优势,就是让我们能够汇总各种数据来源进行快速分析,从中发现比较准确的用户兴趣特征(用户画像),用来支持精准营销。  优秀的大数据平台不仅要保证分析效果,还要能够降低分析门槛和分析成本。互联网数据质量差别很大,底层的数据集成、数据清洗、离线/实时计算都是必要的,所以网易猛犸一站式大数据管理和应用开发平台的设计,就是以一个平台覆盖各种企业大数据使用场景。上层数据分析,就要提供可指导决策的insight,易用,比如网易有数大数据可视化分析平台,就是一个面向业务人员的自助式敏捷分析平台,可以直接反映营销策略的效果、供应链状况等。   相关回答:网易云:如何通过数据分析达到精准营销的目的?
  • 1 个回答
    Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,网易云易盾资深安全工程师徐从祥为大家详细解读九大常见的Android漏洞,供各位参考。 第一大类:Android Manifest配置相关的风险或漏洞 程序可被任意调试 风险详情:安卓应用apk配置文件Android Manifest.xml中android:debuggable=true,调试开关被打开。 危害情况:App可以被调试。 修复建议:把Android Manifest.xml配置文件中调试开关属性关掉,即设置android:Debugable="false"。 程序数据任意备份 风险详情:安卓应用apk配置文件AndroidManifest.xml中android:allowBackup=true,数据备份开关被打开。 危害情况:App应用数据可被备份导出。 修复建议:把AndroidManifest.xml配置文件备份开关关掉,即设置android:allowBackup="false"。 组件暴露:建议使用android:protectionLevel="signature"验证调用来源。 Activity组件暴露 风险详情:Activity组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,activity被认为是导出的,可通过设置相应的Intent唤起activity。 危害情况:黑客可能构造恶意数据针对导出activity组件实施越权攻击。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 Service组件暴露 风险详情:Service组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,Service被认为是导出的,可通过设置相应的Intent唤起Service。 危害情况:黑客可能构造恶意数据针对导出Service组件实施越权攻击。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 ContentProvider组件暴露 风险详情:Content Provider组件的属性exported被设置为true或是Android API<=16时,Content Provider被认为是导出的。 危害情况:黑客可能访问到应用本身不想共享的数据或文件。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 BroadcastReceiver组件暴露 风险详情:BroadcastReceiver组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,BroadcastReceiver被认为是导出的。 危害情况:导出的广播可以导致数据泄漏或者是越权。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 Intent Scheme URLs攻击 风险详情:在AndroidManifast.xml设置Scheme协议之后,可以通过浏览器打开对应的Activity。 危害情况:攻击者通过访问浏览器构造Intent语法唤起App相应组件,轻则引起拒绝服务,重则可能演变对App进行越权调用甚至升级为提权漏洞。 修复建议:App对外部调用过程和传输数据进行安全检查或检验,配置category filter, 添加android.intent.category.BROWSABLE方式规避风险 第二大类:WebView组件及与服务器通信相关的风险或漏洞 Webview存在本地Java接口 风险详情:android的webView组件有一个非常特殊的接口函数addJavascriptInterface,能实现本地java与js之间交互。 危害情况:在targetSdkVersion小于17时,攻击者利用addJavascriptInterface这个接口添加的函数,可以远程执行任意代码。 修复建议:建议开发者不要使用addJavascriptInterface,使用注入javascript和第三方协议的替代方案。 Webview组件远程代码执行(调用getClassLoader) 风险详情:使用低于17的targetSDKVersion,并且在Context子类中使用addJavascriptInterface绑定this对象。 危害情况:通过调用getClassLoader可以绕过google底层对getClass方法的限制。 修复建议:targetSDKVersion使用大于17的版本。 WebView忽略SSL证书错误 风险详情:WebView调用onReceivedSslError方法时,直接执行handler.proceed()来忽略该证书错误。 危害情况:忽略SSL证书错误可能引起中间人攻击。 修复建议:不要重写onReceivedSslError方法, 或者对于SSL证书错误问题按照业务场景判断,避免造成数据明文传输情况。 webview启用访问文件数据 风险详情:Webview中使用setAllowFileAccess(true),App可通过webview访问私有目录下的文件数据。 危害情况:在Android中,mWebView.setAllowFileAccess(true)为默认设置。当setAllowFileAccess(true)时,在File域下,可执行任意的JavaScript代码,如果绕过同源策略能够对私有目录文件进行访问,导致用户隐私泄漏。 修复建议:使用WebView.getSettings().setAllowFileAccess(false)来禁止访问私有文件数据。 SSL通信服务端检测信任任意证书 风险详情:自定义SSL x509 TrustManager,重写checkServerTrusted方法,方法内不做任何服务端的证书校验。 危害情况:黑客可以使用中间人攻击获取加密内容。 修复建议:严格判断服务端和客户端证书校验,对于异常事件禁止return 空或者null。 HTTPS关闭主机名验证 风险详情:构造HttpClient时,设置HostnameVerifier时参数使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier。 危害情况:关闭主机名校验可以导致黑客使用中间人攻击获取加密内容。 修复建议:APP在使用SSL时没有对证书的主机名进行校验,信任任意主机名下的合法的证书,导致加密通信可被还原成明文通信,加密传输遭到破坏。 SSL通信客户端检测信任任意证书 风险详情:自定义SSL x509 TrustManager,重写checkClientTrusted方法,方法内不做任何服务端的证书校验。 危害情况:黑客可以使用中间人攻击获取加密内容。 修复建议:严格判断服务端和客户端证书校验,对于异常事件禁止return 空或者null。 开放socket端口 风险详情:App绑定端口进行监听,建立连接后可接收外部发送的数据。 危害情况:攻击者可构造恶意数据对端口进行测试,对于绑定了IP 0.0.0.0的App可发起远程攻击。 修复建议:如无必要,只绑定本地ip127.0.0.1,并且对接收的数据进行过滤、验证。 第三大类:数据安全风险 数据存储 SD卡数据被第三方程序访问 漏洞描述:发现调用getExternalStorageDirectory,存储内容到SD卡可以被任意程序访问,存在安全隐患。 安全建议:建议存储敏感信息到程序私有目录,并对敏感数据加密 全局File可读写漏洞-openFileOutput 风险详情:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可读权限MODE_WORLD_READABLE。 危害情况:攻击者恶意读取文件内容,获取敏感信息。 修复建议:请开发者确认该文件是否存储敏感数据,如存在相关数据,请去掉文件全局可读属性。 全局文件可写 风险详情:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可写权限MODE_WORLD_WRITEABLE。 危害情况:攻击者恶意写文件内容破坏APP的完整性。 修复建议:请开发者确认该文件是否存储敏感数据,如存在相关数据,请去掉文件全局可写属性。 全局文件可读可写 风险详情:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可读写权限。 危害情况:攻击者恶意写文件内容或者,破坏APP的完整性,或者是攻击者恶意读取文件内容,获取敏感信息。 修复建议:请开发者确认该文件是否存储敏感数据,如存在相关数据,请去掉文件全局可写、写属性。 私有文件泄露风险-getSharedPreferences 配置文件可读 风险详情:使用getSharedPreferences打开文件时第二个参数设置为MODE_WORLD_READABLE。 危害情况:文件可以被其他应用读取导致信息泄漏。 修复建议:如果必须设置为全局可读模式供其他程序使用,请保证存储的数据非隐私数据或是加密后存储。 配置文件可写 风险详情:使用getSharedPreferences打开文件时第二个参数设置为MODE_WORLD_WRITEABLE。 危害情况:文件可以被其他应用写入导致文件内容被篡改,可能导致影响应用程序的正常运行或更严重的问题。 修复建议:使用getSharedPreferences时第二个参数设置为MODE_PRIVATE即可。 配置文件可读可写 风险详情:使用getSharedPreferences打开文件时,如将第二个参数设置为MODE_WORLD_READABLE 或MODE_WORLD_WRITEABLE。 危害情况:当前文件可以被其他应用读取和写入,导致信息泄漏、文件内容被篡改,影响应用程序的正常运行或更严重的问题。 修复建议:使用getSharedPreferences时第二个参数设置为MODE_PRIVATE。禁止使用MODE_WORLD_READABLE | MODE_WORLD_WRITEABLE模式。 数据加密 明文数字证书漏洞: Apk使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。 明文存储的数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常。 AES弱加密 风险详情:在AES加密时,使用“AES/ECB/NoPadding”或“AES/ECB/PKCS5padding”的模式。 危害情况:ECB是将文件分块后对文件块做同一加密,破解加密只需要针对一个文件块进行解密,降低了破解难度和文件安全性。 修复建议:禁止使用AES加密的ECB模式,显式指定加密算法为:CBC或CFB模式,可带上PKCS5Padding填充。AES密钥长度最少是128位,推荐使用256位。 随机数不安全使用 风险详情:调用SecureRandom类中的setSeed方法。 危害情况:生成的随机数具有确定性,存在被破解的可能性。 修复建议:用/dev/urandom或/dev/random来初始化伪随机数生成器。 AES/DES硬编码密钥 风险详情:使用AES或DES加解密时,密钥采用硬编码在程序中。 危害情况:通过反编译获取密钥可以轻易解密APP通信数据。 修复建议:密钥加密存储或变形后进行加解密运算,不要硬编码到代码中。 数据传输:与上面的重复了,也可以把webview系列的漏洞归入这一小类。 第四大类:文件目录遍历类漏洞 Provider文件目录遍历 风险详情:当Provider被导出且覆写了openFile方法时,没有对Content Query Uri进行有效判断或过滤。 危害情况:攻击者可以利用openFile()接口进行文件目录遍历以达到访问任意可读文件的目的。 修复建议:一般情况下无需覆写openFile方法,如果必要,对提交的参数进行“../”目录跳转符或其他安全校验。 unzip解压缩漏洞 风险详情:解压zip文件,使用getName()获取压缩文件名后未对名称进行校验。 危害情况:攻击者可构造恶意zip文件,被解压的文件将会进行目录跳转被解压到其他目录,覆盖相应文件导致任意代码执行。 修复建议:解压文件时,判断文件名是否有../特殊字符。 第五大类:文件格式解析类漏洞 FFmpeg文件读取 风险详情:使用了低版本的FFmpeg库进行视频解码。 危害情况:在FFmpeg的某些版本中可能存在本地文件读取漏洞,可以通过构造恶意文件获取本地文件内容。 修复建议:升级FFmpeg库到最新版。 安卓“Janus”漏洞 漏洞详情:向原始的App APK的前部添加一个攻击的classes.dex文件(A文件),安卓系统在校验时计算了A文件的hash值,并以”classes.dex”字符串做为key保存, 然后安卓计算原始的classes.dex文件(B),并再次以”classes.dex”字符串做为key保存,这次保存会覆盖掉A文件的hash值,导致Android系统认为APK没有被修改,完成安装,APK程序运行时,系统优先以先找到的A文件执行,忽略了B,导致漏洞的产生。 危害情况:该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。 修复建议:禁止安装有多个同名ZipEntry的APK文件。 第六大类:内存堆栈类漏洞 未使用编译器堆栈保护技术 风险详情:为了检测栈中的溢出,引入了Stack Canaries漏洞缓解技术。在所有函数调用发生时,向栈帧内压入一个额外的被称作canary的随机数,当栈中发生溢出时,canary将被首先覆盖,之后才是EBP和返回地址。在函数返回之前,系统将执行一个额外的安全验证操作,将栈帧中原先存放的canary和.data中副本的值进行比较,如果两者不吻合,说明发生了栈溢出。 危害情况:不使用Stack Canaries栈保护技术,发生栈溢出时系统并不会对程序进行保护。 修复建议:使用NDK编译so时,在Android.mk文件中添加:LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all 未使用地址空间随机化技术 风险详情:PIE全称Position Independent Executables,是一种地址空间随机化技术。当so被加载时,在内存里的地址是随机分配的。 危害情况:不使用PIE,将会使得shellcode的执行难度降低,攻击成功率增加。 修复建议:NDK编译so时,加入LOCAL_CFLAGS := -fpie -pie开启对PIE的支持。 libupnp栈溢出漏洞 风险详情:使用了低于1.6.18版本的libupnp库文件。 危害情况:构造恶意数据包可造成缓冲区溢出,造成代码执行。 修复建议:升级libupnp库到1.6.18版本或以上。 第七大类:动态类漏洞 DEX文件动态加载 风险详情:使用DexClassLoader加载外部的apk、jar 或dex文件,当外部文件的来源无法控制时或是被篡改,此时无法保证加载的文件是否安全。 危害情况:加载恶意的dex文件将会导致任意命令的执行。 修复建议:加载外部文件前,必须使用校验签名或MD5等方式确认外部文件的安全性。 动态注册广播 风险详情:使用registerReceiver动态注册的广播在组件的生命周期里是默认导出的。 危害情况:导出的广播可以导致拒绝服务、数据泄漏或是越权调用。 修复建议:使用带权限检验的registerReceiver API进行动态广播的注册。 第八大类:校验或限定不严导致的风险或漏洞 Fragment注入 风险详情:通过导出的PreferenceActivity的子类,没有正确处理Intent的extra值。 危害情况:攻击者可绕过限制访问未授权的界面。 修复建议:当targetSdk大于等于19时,强制实现了isValidFragment方法;小于19时,在PreferenceActivity的子类中都要加入isValidFragment ,两种情况下在isValidFragment方法中进行fragment名的合法性校验。 隐式意图调用 风险详情:封装Intent时采用隐式设置,只设定action,未限定具体的接收对象,导致Intent可被其他应用获取并读取其中数据。 危害情况:Intent隐式调用发送的意图可被第三方劫持,导致内部隐私数据泄露。 修复建议:可将隐式调用改为显式调用。 第九大类:命令行调用类相关的风险或漏洞 动态链接库中包含执行命令函数: 风险详情:在native程序中,有时需要执行系统命令,在接收外部传入的参数执行命令时没有做过滤或检验。 危害情况:攻击者传入任意命令,导致恶意命令的执行。 修复建议:对传入的参数进行严格的过滤。 如果看完以上干货意犹未尽,可以免费试用网易云易盾Android 应用加固产品,保证解决你的安全难题。
  • 1 个回答
    谷歌大脑工作人员 Hieu Pham (尚未广泛使用 PyTorch)在 Quora 上提出:PyTorch 并非整体最佳的深度学习框架。当然他认为 TensorFlow 需要适应。他最后的忠告是:没有整体最佳的深度学习框架(如同没有整体最好的编程语言),不要因为某工具难以学习和使用而拒绝该工具,应当根据经验和资源找到最适合自己的工具。理由如下: PyTorch 没有更易于学习,只是它更像大家所期待的。PyTorch 相对于 TensorFlow 或 Theano 等涉及构建静态图(static graph)的框架显得更为易用,并不是因为其设计更好,更多的是因为 PyTorch 提供了一个更接近命令式编程范式(群众基础更好)的平台。而对于 TensorFlow,用户足够了解它时,调试会更加容易。 PyTorch 并非无所不能。Hieu Pham 以 PyTorch 难以复现自己一篇强化学习应用论文的试验结果作为案例说明。主要是 PyTorch 对大规模分布式学习支持不好 - 在 640 台 CPU*1 + GPU*4 的计算机上运行 640 个副本,rewards 必须收集并发送给包含强化学习代理的 641-st GPU,梯度必须收集和同步。 PyTorch 也有难以理解的地方。比如 @ 符号的含义,未找到任何官方文档解释这个符号的用法。 一位有20年神经网络经验的高级数据科学家 Marco Fabiani 则表示,已经入坑 PyTorch (Python 环境),弃坑使用一年多的 Tensorflow,当然 C 环境下他更喜欢 Caffe。理由还是 PyTorch 易用 - 从零开始使用 PyTorch 一周,工作效率比使用 Tensorflow 几个月还要高 - Marco Fabiani 注重完全控制训练过程,比如训练过程中修改梯度,删除/添加连接,某些权重设置为 0,而 Tensorflow 的静态图无法支持这些,sessions, graphs, collections 带来的是不必要的过度复杂。 注:TensorFlow 已经引入动态计算选项 Eager Execution,但目前 TensorFlow 仍以静态计算为主。 我想说的是,谷歌为 TensorFlow 进行了大量的投资,为深度学习的普及做了很大的贡献,而 PyTorch 才刚刚开始,有需要优化的地方不足为奇,但以大规模分布式学习这种“土豪级”特性来评判目前的框架优劣并不合适,先完善单机多卡,再搞多机多卡,是一个正常的 Roadmap,其实现在很多训练都不是多机的。 当然 Hieu Pham 说得没错,数据科学工作者确实应当选择最合适自己的工具,比如网易猛犸一站式大数据管理和应用开发平台,覆盖了大规模数据存储与计算、数据集成、应用开发及数据管理等企业大数据应用场景,其设计强调敏捷、易用、一站式应对多场景,就是希望让数据科学工作者能够低门槛、快速开展工作。
  • 1 个回答
    黑客攻击网站,进行渗透通常有一些流程,我们永远也不可能防范所有的黑客,但是以下的措施可以帮助抵抗大部分黑客攻击,并且投入性价比也算比较高。 黑客在攻击前,大多会进行踩点和机器服务的扫描,通过扫描发现问题再进行深入攻击,入侵成功后再进行提权和扩大攻击范围; 要防范黑客攻击,我们可以做一些防御性的措施,比如关闭不必要的服务,一个网站对外开放的只需要Web服务,其他服务可以关闭或者做访问限制; 当然,Web服务也会有安全问题,这时候我们需要可以对Web服务进行一次渗透测试,发现安全问题并及时修复,同时我们还可以部署上WAF,可以帮助我们有效的拦截大部分攻击请求; 但是,如果黑客比较暴力,直接使用DDoS的方式进行攻击,这时候我们需要一些攻击流量识别和清洗的设备。 如果你有比较专业的团队,可以直接开始实施,如果你没有,建议可以购买一些安全服务,比如易盾的抗DDoS服务、WAF服务、渗透测试服务等等。 1、 网络层防护:网易云DDoS高防可提供1T超大防护带宽,能够有效抵御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等各类常见的攻击类型,尤其适用于游戏类客户。 2、 应用层防护:对网站类用户来说,CC攻击是最常见也是最头疼的攻击方式,DDoS高防可通过浏览器指纹、CC工具识别等防御模块有效抵御CC攻击,最高可防御100W+QPS攻击。 3、 弹性防护:采用基础防护+弹性防护计费模式,用户可根据自身业务情况灵活选择防护带宽,弹性防护按天付费,不超出不收费,从而极大的节省成本。 再分享两篇抗D技术文章: 网易云首席安全架构师谈安全新形势:DDOS两三天,游戏玩家数从几万降到几百 DDoS攻击如此猖獗,我们该如何解决? 如果你的网站安全正在受到威胁,可以免费体验易盾的安全防护服务,7*24小时实时防护。
  • 1 个回答
    大数据对于市场研究公司而言利大于弊: 大数据时代为市场研究公司带来新的研究对象 大数据时代为市场研究公司提供新的研究工具 第一条不论,单说第二条,认为大数据对市场研究公司造成威胁,是因为大数据提供了优秀的工具,使得企业更易于自行分析行业趋势与市场前景,但这个工具其实是公平的,对市场研究公司也一视同仁。 大数据生效的前提有三: 蕴含价值的数据(分析价值密度低的数据可能 ROI 会比较低) 靠谱的工具(大数据管理/开发/分析平台) 合格的人才(或者说成熟的数据分析方法) 由于自身的积累,市场研究公司具有更全面的视野,掌握更成熟的研究模型,拥有高质量的数据,所欠缺的,不过是对互联网技术的了解,但一款优秀的数据处理和分析工具,足以抹平这种差距。而且市场研究公司服务的很多传统行业客户,一样对大数据这样的互联网技术不熟悉。所以,市场研究公司要做三件事情: 建议数据驱动的文化 以互联网的方式开展业务,便于收集数据 选择强力大数据工具支撑业务的发展 所谓优秀的工具,主要还是三点: 性能强大:所谓大数据平台,存储、计算规模的支持,以及实时性的要求,都没得说; 功能全面:能够 hold 住不同的大数据应用场景,比如数据接入,数据清洗,数据管理,数据挖掘,用到的一定要有; 敏捷高效:一是使用门槛低,最好是可视化、自动化、智能化的操作,编程技能要求低;二是一套平台、一份数据存储支持多种场景,同时也有利于降低成本。 网易云打造的大数据平台,正是基于上述理念构建的,欢迎免费试用: 网易猛犸是一个大数据应用开发与数据管理平台,覆盖了数据传输、计算及作业流调度等多个环节,日处理数据量达到 PB 级。 网易有数则定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%。
  • 1 个回答
    数据仓库作为企业提供决策支持而构建的集成化数据环境,本身并不产生或者消费数据,基本架构包含的是数据流入流出的过程,首先放上一张数据仓库的架构图。数据仓库作为中间集成化数据管理的一个平台,底层有多种数据来源,流入数据仓库之后对上层应用开放。 [图片] 1、分析业务需求,确定数据仓库主题 数据模型的创建依赖数据仓库主题的确定,在搭建数据仓库之前,首先就是要充分了解业务部门的问题需求,明确我们所要创建的数据仓库真正可以解决的问题,在多次沟通的前提下,可以准确的确定系统能够实现的功能。在这个过程中,基于双方理解问题的不同,还需要我们对需求做出一些原型的演示,避免理解上的分歧。 需要做到包括:从业务方需求中提取出重要的业务数据主题,并对业务数据主题进行详细的解释;对提取出的业务数据主题进行主题域的划分,并对主题域进行详细的解释;根据主题域的划分,对内部的组织结构和业务关系细节化,构建出主题域的概念模型。 2、构建逻辑模型 在概念模型的基础上,对其进行进一步的细化和分解,通过实体和实体之间的关系描述业务的需求和系统实现的技术领域。逻辑模型的构建在数据仓库的实施中最为重要,是业务需求人员和技术人员进行沟通的桥梁和平台,能够直接反映业务部门实际的需求和对业务的规划,同时对下面物理模型的构建也具有指导意义。逻辑模型通过实体与实体之间的关系勾勒出了整个业务部门的数据蓝图和规划。 逻辑模型主要关注细节性的业务规则,同时也需要解决每个主题域包含的概念范畴和跨主题域的集成和共享问题,构建的步骤一般包括:分析需求,列出需要分析的主题,明确需求目标、维度指标、分析的指标、分析的方法、数据的来源以及需要关注的对象等;选择用户感兴趣的数据,通过业务需求将需要分析的指标分离抽取出来,转换为实体;在实体中增加时间戳属性;考虑粒度层次的划分,粒度决定了数据仓库的实现方式、性能、灵活性以及数据仓库的数据量;在粒度层次划分的基础上,进行关系模式的定义,关系模式一般采取第三范式的特点进行定义;同时在逻辑模型的基础上对实体的属性、属性的值域等信息进行明确、完善和细化,保证真实的反映业务的逻辑关系和业务的规则。 3、逻辑模型转换为物理模型 基于逻辑模型,接下来就是为应用环境选择一个合适的物理结构,包括合适的存储结构以及合适的存储方法。将逻辑模型转换为物理模型主要包括:实体名转换为表名;属性名转换为列名,并且确定列的属性;在物理模型的创建过程中,必须要对列的属性进行明确,包括列名、数据类型、是否是空值以及长度等。确定物理模型之后,对于数据的存放位置和存储空间的分配等也需要进行规划。 4、数据源接入 在数据仓库的建立之前,需采集底层多种数据源数据,明确数据源中的数据种类,采用合适的工具。比如,Flume NG作为实时日志收集系统,支持在日志系统中定制各类数据发送方,用于收集数据,同时,对数据进行简单处理,并写到各种数据接收方;NDC,Netease Data Canal,直译为网易数据运河系统,可以实现结构化数据库的数据实时迁移;Sqoop可以将关系型数据库中的数据导入到平台中;Logstash作为开源的服务端数据处理管道,也可以轻松的将日志、WEB应用等数据采集到平台中。 5、数据存储清洗和转换 对数据进行清洗和转换,保证进入到数据仓库中的数据的一致性。结合业务需求,采用合适的数据清洗转换工具。 6、对接BI,数据展示 为业务部门选择合适的工具实现对数据仓库中的数据进行分析的目的,正确清晰的展现用户的功能需求。 数据仓库搭建成功之后,还需对其安全性、备份恢复等方面进行管理。 利益相关:网易云打造的大数据平台,能够提供更好的建设方案,欢迎免费试用。 网易猛犸是一个大数据应用开发与数据管理平台,覆盖了数据传输、计算及作业流调度等多个环节,日处理数据量达到 PB 级。 网易有数则定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%。
  • 1 个回答
    在这里主要讲一下BI的未来发展趋势,和选择产品时的关注点,帮助大家更有针对性的选择。 从20世纪80年代开始,商业智能的定义出现在人们面前,早期商业智能十分基础和杂乱,不仅仅会把数据处理放进去、还包含有一些可视化方面内容等。这个时期的BI主要的功能是支持多维分析和报表填写。 随着发展,基于语义层这类的工具产品日益成为主流,大家都在争先恐后的发展基于NLP的BI,前几天谷歌也刚刚开了改变世界的展示,其中的AI语音助手已经能够让人分辨不出来是不是真正的人了,这项技术如果能够普及,那对BI的发展势必会起到强大的推动作用。 到2013年左右,商业BI就定位于数据可视化、数据分析、大数据领域,提供一些基础的数据分析。 在现阶段,云端化发展明显,SaaS版本开始出现,并且广受欢迎。同时在解决方案方面,不同的厂商侧重点都有所不同,比如网易有数/powerBI是图表,yellowfin是异常值处理,还有一些厂家是进一步分析数据,趋势预测分类等。同时随着数据量的增加,有提供数据分析处理的厂家也越来越受欢迎。在移动设备普及的现在,移动 BI 和协作办公需求也开始变大,也是一个需要纳入考虑的范围。 总结起来,主流BI产品在选择的时候要考虑到从数据到展现、从公司内到公司外、各种场景,除此之外,还需要考虑以下几点: 1:以后的数据处理能力,是否能够在大批量,上亿条数据的情况下给出解决方案; 2:BI的侧重点是不是和公司的需求匹配,如报表智能预警还是预测分析或者是数据挖掘; 3:厂商的创新能力和迭代速度,因为BI发展太过迅速,没人想买一个产品刚刚部署用了好长时间没有更新的; 4:移动办公支持能力; 5:最重要的,厂商的服务水平,作为B端产品,更新迭代这么快,又这么复杂,肯定面临着学习成本高,同时还容易出现bug,这种情况下厂商的服务能够解决一切! 利益相关:网易云打造的大数据平台,提供相关大数据服务,均可免费试用。 网易猛犸是一个大数据应用开发与数据管理平台,覆盖了数据传输、计算及作业流调度等多个环节,日处理数据量达到 PB 级。 网易有数则定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%。
  • 1 个回答
    这是一个很有意思的问题,很多小型电商都有这个问题,关于电商报表的制作,如果使用Excel做报表的话,免不了各种函数和链接,同时数据的更新也跟不上,每次更新数据都是要重新复制粘贴什么的很麻烦,如果用离线的工具都会遇到这个问题。所以这里推荐使用在线的工具,一些SaaS工具,可以很方便地制作报表,同时还附带有BI功能,收费也非常合理,足够满足老板的观看或者监控需求,网易有数的BI敏捷数据分析平台就是一个很好的选择。 对于小型电商的数据分析无外乎以下几个方面: 流量分析、站内运营、转化分析、广告管理、会员分析、业务分析等几个方面,这里主要说一下使用什么工具。 目前的数据分析工具分为离线版的和在线版的: 离线版的有正版和那啥版的,都可以用,不过正版会比较贵一些,但是无论是要不要钱都不推荐,因为离线版对数据的动态刷新支持并不友好,主要是一次性分析,这样的话总需要一个人专门每天分析数据,发的工资也不止买好几个软件使用了。 在线版的比较多,有powerBI、yellowfin、tellius、网易有数、quickBI等等很多种,对于小型电商的话,性价比是主要的,其中性价比主要是集中在价格便宜、使用方便、维护方便,对于成熟的BI分析工具,其功能方面可以说都能够满足小型电商的分析使用,但是价格还是不同的,国外的BI可以不用考虑,因为在使用上从语言到使用习惯都不同的,国内的话,价格相差不是特别多,主要需要考虑的还是在使用和维护上。 网易有数就提供了报告、大屏、驾驶舱等多种展示工具,同时支持导出、定时邮件等多种交互方式,结合智能BI,可以满足小白的使用情况,通过建立各种模型,可以详细的分析销售或者运营、管理的数据,比如下面的智能BI推荐图表,小白友好型,可以更多的了解一下或者试用一下,这些在线BI已经能够完全覆盖小型电商所需了。可以点击这里免费试用。 更多详情还可参考如下问题:如何通过数据分析达到精准营销的目的?
  • 1 个回答
    在安全领域向来是先知道如何攻,其次才是防。在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。 那么碰见撞库之后,我们如何防护呢?网易云易盾安全专家刘庆认为:撞库一般有以下几种形式,每种形式有一些不同的处置策略。但是实际情况是,被攻击的网站可能会同时面临几种不同类型的撞库,毕竟大家手里拿到的社工库非常多,撞库的成本也非常低。 社工库是社会工程学数据库的简称,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库中有大量信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、通话记录、短信记录、开房记录等等)。 最常见的三种撞库方法: 第一种:用n个密码字典撞m个账号,这个的表象是,一个账号在某个较短的时间内,可能会有多次密码尝试。所以,可以在账号层加限制措施,比如:一天内,一个账号,密码错误次数超过5次时,1天之内禁止登陆(或者校验手机短信/密保问题之后才能登陆)。 第二种:用几个密码撞n个账号,这个的表象是,密码出现的频率会非常高,所以,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录(或者校验手机短信/密保问题之后才能登陆)。 第三种:用n组一一对应的账号密码来再撞库,这种情况的撞库单纯从账号、密码的维度来看,不会有明显的异常。所以,需要一些其他的应对措施。比如: 1)IP封禁,如果一段时间内,单个IP地址,密码错误次数超过阈值,则禁止这个IP一段时间再登录(或者校验手机短信/密保问题之后才能登陆)。不过,如大家所说,现在代理IP相当廉价,从IP层面来封禁基本上没啥作用。 2)建立IP画像库,对代理IP、IDC IP等高危的IP直接禁止登陆(或者校验手机短信/密保问题之后才能登陆)。自己建立IP画像库成本可能会有点高,可以考虑采购安全厂商的类似服务。 3)现在比较火的行为验证码,比如:拖条、点选、拼图等各种花样的验证码。只是说,如果之前登录不需要验证码,现在要加上一个验证码,估计要和产品撕逼。一般来说最后为了后期的运营,产品也会同意加上验证码。 4)从设备层面来识别和封禁,通过在客户端植入sdk,收集用户端的设备信息,从设备层面来做高频策略,或者,直接识别出非正常的设备,然后对设备进行封杀。 5)从行为层面来识别和封禁,和上面一条一样,通过客户端植入sdk,收集用户在登录页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。这个需要有预先训练好的行为模型,现在机器学习那么好,不说大家也都知道,自己训练一个模型肯定需要很多标注数据,这也就意味着成本。所以,还是建议寻找安全厂商还做,毕竟专业的人做专业的事,靠谱! 上面列举的这些措施,没有哪一个是一劳永逸的,都是需要不断对抗升级,毕竟撞库的手段也会不断的进化,我们能做的是不断优化策略,不断提高撞库的成本。所以,最好的方式是采购安全厂商的相关服务(比如:网易的登录保护、验证码服务等),把攻防对抗的事交给安全厂商来做,咱们专注做自己的业务,这样性价比会更高。
  • 1 个回答
    首先不太建议使用国外和开源报表工具,但是国内的基本主要看功能和价格,那就提一个目前隐藏比较深的成熟的敏捷BI报表,功能齐全,从使用感上讲,和一些老牌报表的功能差不多,在交互和操作上更胜一筹——网易有数,可能是因为商用化太晚了大家都不太知道。 利益相关:以下是有数产品的详细介绍。 功能方面 整体来说国产报表内容差不多,主要是交互和附加功能的不同: 交互功能:网易有数的交互是通过拖拽式的图表交互功能,使用Excel的可以去体验一下,类似tableau的拖拽,十分的方便,长时间使用之后会上瘾……因为太简单了,不想通过Excel类似的复杂的操作功能…… 附加功能:除了正常的仪表盘、驾驶舱这些功能,也有大屏展示功能,还附带有导出和定时邮件等功能,又有最新的智能BI,能帮助小白也顺利的画图什么的,下面是使用网易有数的BI进行了一个示例,而且他们要出新的BI版本,可以检测异常,进行数据进一步分析的。 系统方面:大家都说到了系统,这个是一个问题的,因为不同的公司的业务不同,网易有数应该是在开始就考虑到了这个问题,所以提供了两种方案,一个是SaaS版本的,这个只要联网就可以使用的版本,没有系统限制,还提供私有部署版本,保证闭环和数据安全,有数据安全需求的公司可以考虑一下,很靠谱,据目前来看,有大型运营商和证券类公司已经开始使用私有部署版本的网易有数了。 计算性能:这个是大家比较关心的,因为是SAAS版本或者是私有部署的,所以和计算机性能没关系,他自己提供了MPP加速和预缓存的服务,直接满足报表制作和刷新需求,感觉很不错。 其他功能:比如协作工作环境、数据下钻、数据表联动等都是其他的平台分析工具不具备的。 成本方面 这个很多公司很关心,就网易有数的价格和其他开山鼻祖以及后鼻祖的价格相比较而言,一个人最便宜一年888,十个才8880,一年……自己比一下吧,不知道私有部署多少钱,但是这个应该是有特殊要求的公司有需求吧,这种一般情况下也不差钱搞私有部署吧,不然自己搞的话没有个几百万,从硬件到软件到开发也搞不下来,心不心动自己看吧。点击这里免费试用。
  • 1 个回答
    机器学习会议:NIPS、ICML、COLT 机器学习期刊:Journal of Machine Learning Research(JMLR) 数据挖掘会议:SIGKDD、ICDM、SDM 数据挖掘期刊:IEEE Transactions on Knowledge and Data Engineering(TKDE) 其他同样包含高质量 DM 和 ML 论文的会议: 数据库顶会:SIGMOD、VLDB 人工智能顶会:IJCAI 这篇古老的文章,有兴趣可以参考:数据挖掘领域顶级会议期刊及其分析 之前的 CCF 推荐已经 404,改版地址在这里:中国计算机学会推荐国际学术会议和期刊目录 另外,NIPS 之后有可能会改名: [图片] 利益相关:网易猛犸一站式大数据管理和应用开发平台,兼容各种主流存储和计算技术,可以优雅地支持复杂的数据挖掘、机器学习应用。