推荐问答
最新问答
待回答
  • 2 个回答
    个人认为,这个问题不一定,这个要具体问题具体分析: 首先,产品发布了出现bug,就是测试的问题了; 其次,产品没有发布,存在bug:         1、bug测试出来,开发没有修改好,或者引起了新的bug,这就是开发的问题;         2、bug没测试出来,那就是测试的问题; 以上都是个人观点。
  • 1 个回答
    这是一个很有意思的探索,对于数据中心节能、利用海洋能源、降低沿海用户的网络延迟,以及陆地数据中心的改进,都有很积极的意义。但这个项目显然需要一些前提条件。 首先,在数据中心容错性(比如磁盘故障容错)、系统监控以及自动化运维方面,要有很强的技术实力 - 其他朋友说可以升出海面维护,但这显然不应该是经常性的行为,比较适合定期硬件修复和保养,对于突发情况而言,浮水的流程也会带来成本,增加响应时间。 其次,需要机架设计和冷却系统创新,这些探索对于陆地数据中心的改造,也会有一定的借鉴意义。 第三,水下舱室的设计与监控,同样非常重要。 Natick要成熟应用,还需要更多的验证 - 未来的大部分计算要由云来提供,如果只能做冷存储或者离线计算,应用场景就会受限。 微软表示,该数据中心的设计宗旨是在不需要任何维护的情况下“保存数据和处理信息”长达5年时间,不过目前它不会被用于为公司提供任何关键任务的云计算工作。 另外,规模也还需要扩大。860 台物理机,对于一般企业可能足够,但对于以规模取胜的云服务商而言并还是不够。 密封容器中装了12组机架共计864台服务器,处理性能相当于数千台高端台式电脑,其中存储空间达到了27.6PB,能够保存500万部电影。
  • 2 个回答
  • 1 个回答
    避免梯度消失是果,门是因。 门提供了控制网络中信息传递的工具,让 LSTM 可以记住较为长期的信息,从而解决梯度消失的问题。然而,Encode-Decode 框架中固定长度的向量表示也是有限的,输入序列较长时模型性能就会变差,毕竟丢失了很多细节信息嘛。 这就给 Attention 替换 RNN 的说法形成支撑。 LSTM、GRU 及其变体能学习大量的长期信息,但它们最多只能记住约 100s 的长期信息,而不是 1000s,10000s 甚至更长时间的信息。   至于 Facebook 的 CNN 机器翻译之所以在某种程度上吊打谷歌,不仅仅是因为 gating,也因为有 multi-hop attention,后者使得神经网络可以多次回顾相关的关键词,以产生更好的翻译结果。 其实 Attention 机制虽然近两年才比较热门,但其思想的提出也可以追溯上个世纪,也就是真正有用了才火。LSTM 虽然现在被唱衰,在效率和可扩展性上有天花板,但在一定范围内用来解决一些问题,毕竟还是不错的工具。 Attention-based LSTM,也是一种方向,让 LSTM 更加有用。
  • 1 个回答
    判断一个账号是不是垃圾账号,无非就是看这个账号从哪里来的以及做了什么。具体可以从以下维度判断: 注册来源,所在的IP、设备ID、用户行为。 1.注册来源 用户未产生行为之前,帐号IP和设备ID是判断是否为垃圾的直接依据。 一般来说,企业会有针对垃圾账号所积累的黑名单库,其中IP、设备ID均在列。通过黑名单库的识别,可以提前过滤掉一部分垃圾账号。 但设备ID/IP信息是可以不断变更的,仅靠积累的库并不能解决问题。 2.注册信息 注册信息,包括昵称名、注册邮箱名、手机号等。 注册信息的发生,即用户已经产生行为。有了实在的证据之后,判断是否是垃圾账号就有底气了一些。 根据经验,垃圾账号多批量注册,大部分都没有精力对个人资料进行精密设置,因此无意义字符、有规律性的内容就是判断是否为垃圾账号的主要依据。 但根据注册信息的判断仍然是推测,实际操作过程中阻碍较多。 3.行为内容 前面两个步骤的防范都是推测是否为垃圾账号,更有说服力的依据是用户行为内容。 识别标准根据各个场景而不同。在反垃圾场景中,发布垃圾内容的自然是垃圾信息;在反作弊场景中,刷票、批量投票等行为的,也可以理解为垃圾账号。 利益相关:判断一个账号是否是垃圾账号不难,但如何批量的识别出垃圾账号、并在垃圾账号产生负面影响之前就能识别,没有专业的反垃圾反作弊经验很难实现。现在,垃圾行业已经俨然成为一条完整的产业链,没有专业的识别及防护措施,很难与黑产行业正面抗衡。网易云易盾积累20年网易邮箱及社区产品反垃圾经验,提供极速智能的广告过滤、智能鉴黄、暴恐识别、涉政检测云服务,助力打造互联网纯净内容生态,可免费试用。
  • 1 个回答
    从目前的情况来看,大数据和云计算的红利被压榨到了一定的阶段,迁移学习也不能从一个逻辑系统迁移到另一个逻辑系统,深度学习 99.999% 不是人工智能的终极答案,但不能否认深度学习是让人类向智能迈进一大步的正确方向,不能否认深度学习正在为整个社会生产力的提升做出很大的贡献。 下面这些猪厂的例子,有企业市场,有消费应用,即便不算大规模应用,也该算落地了。 网易云智能反垃圾服务,借助深度学习方法识别海量 UGC 信息、各种媒体类型(文本、图片、视频、音频)中涉政、淫秽、广告、暴恐等数十种有害信息,识别率达99.8%,目前已服务上千家互联网知名客户,包括携程、一直播、秒拍等, 2017 年累计过滤有害内容超过 400 亿条。 以深度学习技术为核心的智能客服产品,根据已有数据和双边数据采集,不断向数据库写入关键信息,并将新增问题按语义做分类,现在都已经挺进金融行业了——当然这不是全部了,通用五菱、百草味、58转转、年糕妈妈、云集微店、小牛在线等汽车、电商企业都有用。 由网易公司自主研发的神经网络翻译(NMT)技术用于有道翻译官、有道翻译蛋等产品,在翻译质量方面有很大提升。 [图片] 来源:CIE智库丨新一代人工智能发展白皮书(2017)第三章——新一代人工智能的产业化应用 [图片] [图片] 欢迎点击这里免费试用网易云易盾提供的反垃圾服务。
  • 1 个回答
    行为式验证码是验证码技术的一大突破。 先说一下什么是行为式验证码: 行为式验证码是以用户产生的行为轨迹为依据,进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息综合判断,快速、准确的返回人机判定结果。 [图片] 行为式验证码与传统验证码的区别: 1)传统验证码技术不足 传统验证码用户体验不佳,需要进行一系列操作才能完成。用户需要每天都要花部分时间浪费在无趣的识别数字上,也大大降低了一些网站的交互体验。同时,随着计算机自动识别技术的发展,简单的验证码数字图形也不再安全,很容易被黑客攻破。 2)行为式验证码的优势-综合判断 行为验证码是以用户产生的行为轨迹为依据,进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息综合判断,快速、准确的返回人机判定结果。 3)行为式验证码的优势-迭代性 行为验证码具备运用大数据分析和机器学习模型进行优化升级的作用。路径可以理解为:验证码展示-用户行为分析-机器人学习-返回验证结果-机器模型升级的循环,保证了行为式验证码的不断迭代升级。 行为验证码的推广,保证了网易易盾验证码在和机器刷子进行抗衡过程中不断更新迭代,从而能够持续提升系统性能,保证识别效果。 易盾验证码独有的智能切换策略,感知威胁可自动切换展示为更高难度的验证码类型,切换策略会参考用户的环境信息,历史操作的轨迹等进行综合评判。可确保安全用户快速顺畅通过,疑似用户增加验证难度,高危用户直接拦截的效果。 行为验证码具备运用大数据分析和机器学习模型进行优化升级的作用。路径可以理解为:验证码展示-用户行为分析-机器人学习-返回验证结果-机器模型升级的循环,保证了网易易盾行为式验证码的不断迭代升级。 利益相关:网易云提供智能验证码、图片验证码、滑动验证码、短信验证码等服务,接口稳定性 99.9%,感知威胁可智能切换验证难度,欢迎免费试用。
  • 1 个回答
    [图片] 这些指标或许不足以说明深度学习在 NLP 任务上的绝对优势,但相对传统方法更佳的性能,已经足以使研究者潜心研究。在找到更好的方法之前,我们对 DL for NLP 寄予厚望。 从根本上说,深度学习在 NLP 问题上的优势有三点,这是传统机器学习方法所不具备的。 表达能力:利用深度学习,文本、图像等不同格式都可以表示为实值向量,这使得我们可以跨多种模式执行信息处理。例如,在图像检索中将查询(文本)与图像进行匹配并找到最相关图像变得可行,因为它们都可以表示为向量。 可训练性:深度学习让我们可以为应用执行端到端的训练,从而快速、高质量地解决问题,因为深度神经网络使得数据中的信息能在模型中被有效“编码”。例如,在神经机器翻译(NMT)中,模型完全由平行语料库(parallel corpora)自动构建,通常不需要人为干预。与统计机器翻译的传统方法相比,这显然是一个优势,特征工程对于后者是至关重要的。 可推广性:机器对未经训练的数据也可以执行预测。 可以更为全面地理解深度学习用于 NLP 的优势与挑战。 优势: 擅长模式识别问题 数据驱动,且在很多问题上性能都很高 端到端训练,构建系统时很少需要或不需要领域知识(当然这一点也有争议) 表示学习,使得跨模式处理可行 基于梯度的学习,学习算法很简单 主要是监督学习方法 挑战: 不擅长推理和决策 不能直接处理符号 数据饥渴,在数据量较小时不适用 难以处理长尾现象 模型通常是一个黑盒子,可解释性差 计算成本很高 无监督学习方法有待突破 仍然缺乏理论基础 Deep Learning for Natural Language Processing (NLP): Advancements & Trends | Tryolabs Blog这篇底的文章介绍了 2017 年神经网络模型在命名实体识别、词性标注、情感分析、机器翻译等领域的表现,是比较有意思的。这里是译文:一文概述2017年深度学习NLP重大进展与趋势 [1] Blunsom P, Grefenstette E, Kalchbrenner N . A convolutional neural network for modelling sentences. In: 52nd Annual Meeting of the Association for Computational Linguistics. Baltimore, USA, 2014, 655–65. [2]Hu B, Lu Z, Li H. Convolutional Neural Network Architectures for Matching Natural Language Sentences. In: Advances in Neural Information Processing Systems 27 . Montreal, Canada, 2014, 2042–50. [6] Wu Y, Schuster M, Chen Z. CoRR , vol. abs/1609.08144, 2016. [8] Chen D, Manning CD. A Fast and Accurate Dependency Parser using Neural Networks. In: Conference on Empirical Methods in Natural Language Processing . Doha, Qatar, 2014, 740–50. 利益相关:网易云反垃圾服务借助深度学习提供文本、图片、视频、音频过滤云服务。
  • 1 个回答
    赞同 12306 回复的为保证购票体验而采用简单验证码,只是对 12306 选择的图片不能不持保留观点。 [图片] 从今天这个截图看,12306 的验证码最近似乎没有太大的变化,不过我也没有见过其他答案里面“香菜”、“白百合”之类的各种奇怪的验证。 总体而言,虽然 12306 系统在大流量支持上已经取得了长足的进步,让大家能够更容易地买到火车票,但在验证码方面,研发团队确实应该了解一下验证码技术的最新发展趋势了。 根据网易云超10亿次完美验证的经验,对人和机器的识别不仅仅要关注结果,更要关注过程,我们提供的验证码服务,采用验证码展示-采集用户行为-分析用户行为的流程打造,包括滑动拼图、图中点选、短信上行验证、智能无感知验证码等类型,欢迎免费试用。
  • 1 个回答
    滑动验证码可以显著优化用户体验,这在互联网时代是非常重要的。 滑动验证码对机器的判断,不只是完成拼图,前端用户看不见的是——验证码后台针对用户产生的行为轨迹数据进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息,快速、准确的返回人机判定结果,故而机器识别+模拟不易通过。 滑动验证码也不是万无一失,但对滑动行为的模拟需要比较强的破解能力,毕竟还是大幅提升了攻击成本,而且技术也会在攻防转换中不断进步。 在这里可以推荐试用:网易云提供 智能验证码_网站验证码_图片验证码_验证码接口_滑动验证码,接口稳定性 99.9%,感知威胁可智能切换验证难度,欢迎免费试用。
  • 1 个回答
    验证码之所以存在,就是为了防止机器的自动识别,当某种验证码的自动识别软件烂大街的时候,这种验证码技术也该被产品开发团队打入冷宫了,该软件存在的价值,也就只剩下编程考古了。 其实,验证码自动识别的工具并不是没有,网上有不少采用大厂的 OCR API 实现验证码自动识别的博文,用于爬取数据之类的场景,但图像识别技术的进步,也倒逼着打码技术的进步。 所谓简单型的验证码,前景和背景容易分离、多位字符串容易切割的,传统的 SVM (支持向量机)就可以轻松搞定。复杂的验证码,使用这几年风光的 CNN(卷积神经网络)也能将其斩于马下,然而再强大的 CNN 也依赖于大量的标注数据。如果要做到 90% 以上的识别率(90% 对于很多使用者来说还是很渣的),可能需要数以万计的样本,和比较长的训练时间。训练成功,平台认为之前的打码方式被破解后,又会提升难度或者换一种思路,别有用心的攻击者又要重新标注数据,重新训练……投入的成本,能否产生足够的利益呢?这是他们需要考虑的问题。 深度学习能力增强的同时,现在的验证码技术也衍生出了更为丰富的方式,比如B站,已经采用了滑动拼图验证码。 [图片] 以网易云为例,他们提供的云安全验证码,可对外提供4种类型的验证码,滑动拼图、图中点选、短信上行验证为常规验证体系,智能无感知验证码为独立的验证体系。 [图片] 网易云常规验证体系 [图片] 网易云智能无感知验证码 云安全验证码抛弃了传统字符型验证码展示-填写字符-比对答案的流程,采用验证码展示-采集用户行为-分析用户行为流程,用户只需要产生指定的行为轨迹,不需要键盘手动输入,极大优化了传统验证码用户体验不佳的问题;同时验证码后台针对用户产生的行为轨迹数据进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息,快速、准确的返回人机判定结果。 灵活采用这些打码技术,可以更为有效地防御攻击,同时保证用户体验。欢迎免费试用。
  • 1 个回答
    市场调研是一个系统的具有逻辑的行为,其中的数据分析更是占据了市场调研的工作量中的一大部分,对于市场调研的必要性和目的性,在这里需要补充强调说明一点:就是调研数据的可视化! 调研结束了,数据也分析了,但是怎么样才能让老板看着明白,看着爽呢,那就需要数据可视化了。 对于数据可视化,比较推荐使用成熟的商业可视化BI工具,如果有智能分析或者辅助功能更赞,毕竟谁都不是数据分析专业出身,很多不懂不知道的,也不能一直百度谷歌,所以产品自带智能分析功能是最好不过的,推荐大家尝试一下网易有数,具有SaaS版本,还可以私有部署,同时可以网络协作,最关键的是,别看还不知道这是干什么的,但是人家有智能!不管你是初创还是成熟公司,保证数据安全,提高工作效率,增加员工老板满意度。 其中包含了所有数据分析所需要的图表类型,不要担心不够用,而且制作过程只是简单的拖拽就可以实现了: [图片] 比如制作一些分析: [图片] 对调研对象的贡献或者重要度进行分析: [图片] 在制作的时候: 动一动,拖一拖,点一点,市场调研的数据分析可视化就做出来了。 还具备智能功能。 在老板“视察”的时候: 老板鼠标动一动,点一点、拖一拖、滚一滚就可以报表全览: 比如桑基图,可以明显地看到每一种用户的转换和选择: [图片] 比如方块图,可以分门别类的看到不同的人占用多少比例,这些人中不同的特征又占用了多少比例。 [图片] 再比如趋势比例联动: [图片] 诸如此类的联动下钻等等,再加上许多的交互设置,可以产生很友好,让老板很赏心悦目的报告,这是市场调研的终极一步,也是数据分析的终极一步。 利益相关:网易有数定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%,欢迎免费试用。
  • 1 个回答
    对于数据可视化,比较推荐使用成熟的商业可视化BI工具,如果有智能分析或者辅助功能更赞,毕竟谁都不是数据分析专业出身,很多不懂不知道的,也不能一直百度谷歌,所以产品自带智能分析功能是最好不过的,推荐大家尝试一下网易有数,具有SaaS版本,还可以私有部署,同时可以网络协作,最关键的是,别看还不知道这是干什么的,但是人家有智能!不管你是初创还是成熟公司,保证数据安全,提高工作效率,增加员工老板满意度。 其中包含了所有数据分析所需要的图表类型,不要担心不够用,而且制作过程只是简单的拖拽就可以实现了: [图片] 比如制作一些分析: [图片]对调研对象的贡献或者重要度进行分析: [图片] 在制作的时候: 动一动,拖一拖,点一点,市场调研的数据分析可视化就做出来了。 还具备智能功能。 [图片] 在老板“视察”的时候: 老板鼠标动一动,点一点、拖一拖、滚一滚就可以报表全览: 比如桑基图,可以明显地看到每一种用户的转换和选择: [图片] 比如方块图,可以分门别类的看到不同的人占用多少比例,这些人中不同的特征又占用了多少比例。 [图片] 再比如趋势比例联动: [图片] 诸如此类的联动下钻等等,再加上许多的交互设置,可以产生很友好,让老板很赏心悦目的报告,这是市场调研的终极一步,也是数据分析的终极一步。 网易有数定位于敏捷数据可视化分析平台,可便捷地嵌入企业经营的业务模块,且面对不同客户的需求提供定制化服务,数据分析效率最高提升80%,欢迎免费试用。
  • 1 个回答
    扫描器都是各玩各的,每个扫描器都有自己的优势和劣势。 综合来看做的好的有AWVS, nessus, nmap等,其实Burpsuite也挺不错的; 像AppScan这种,虽然能扫描到一些其他的点,但是扫描效率太低; 二次开发的话开源的扫描器都可以参考,AWVS也是不错的,但是要集成一个漏扫平台,并不建议,维护会非常高,而且每个扫描器的报告和漏洞等级都是不同的,报告会比较折腾; 同时其他扫描器升级之后可能会影响原有结果,不升级可能检测不到最新的问题。综合来看,建议购买一个扫描器服务。 利益相关:网易云提供渗透测试服务,感兴趣的朋友欢迎点击免费试用。
  • 1 个回答
    虽然 ML.NET 还是 v0.1,但这本身就是一个好消息:.NET 开发者与时俱进拥抱机器学习的门槛再次降低。 对于编程工作而言,开发人员越来越需要了解人工智能的作用,需要在应用中集成机器学习的能力; 对于 .NET 开发者而言,微软爸爸的关怀一直都在,调优机器学习模型,不用上xxx培训班,使用现有的 .NET 和 C# 技能就行(当然专门搞机器学习还是建议精通 Python); 对于微软而言,新 CEO 将开放进行到底,坚持跨平台和开源,对建设微软开发生态、吸引新用户、提升用户忠诚度都是好事; [图片] 对于基础工具软件而言,只能说一句——开源万岁!微软聪明地利用社区的力量来实现自己的目的,减少人力投入的需要,同时也让软件更符合用户的期待。 总而言之,要和其他机器学习项目竞争,需要看后续版本的特性、性能、易用性,但对 .NET 生态而言,项目本身还是不错的。
  • 1 个回答
    关于深度学习的理论,以及 NLP(自然语言处理)应用的突破,似乎是年年盼望了。2018 年,Explainability(可解释性)预计还是没有什么大的改进;Attention(注意力模型)确实迷人,NMT(神经机器翻译)有点新意,可 NLP 也还是任重道远,比起 CV、ASR 还差远了。 我认为,比较值得关注的: 一个是 Hinton 的 Capsule,不知道 2018 年会给我们带来什么惊喜——也许向量的方向真不好搞,但新思路的启发意义更大; 二是深度学习硬件,某司被制裁的前车之鉴,国产芯片的风口浪尖,足以刺激一波研发热潮,关键这个领域还比较新,期待本土的创业公司加油突破; 三是视频分析了,在视频业务风口以及监管压力的双重作用之下,相信企业当然很有兴趣通过算法来过滤不合规的视频,缓解审核的压力。 利益相关:网易云易盾,基于网易20年反垃圾专业经验,为您提供极速智能的文本、图片、视频、音频过滤云服务,欢迎免费试用。
  • 1 个回答
    手机的渗透测试可以分为3点: 1. 同Web安全渗透测试类似,需要对Server API和终端应用进行安全测试; 2. OS本身的特性或安全问题; 3. 应用被逆向破解,业务逻辑和信息被盗取; 第一块的问题也不少,很多做移动开发的工程师并不一定有Web安全的经验。 很多App都存在各种逻辑漏洞,比如App的流程依赖于响应内容且没有做校验。这一类的问题可以通过代理工具进行测试; 同样,很多应用对应的服务器也会有一些安全风险点,内部服务开放也可以是渗透的点; 第二块会有一些通用的漏洞,比如android老版本的webview代码执行,调试模式的一些安全问题;也会有一些开发习惯的问题,比如SSL证书配置的问题,SQL本地注入和日志信息泄露的问题等。 综合来讲,第二块涉及的问题和手机系统本身有很大关联,渗透测试过程中需要不断的积累知识库; 第三块其实是非常重要的,很多时候我们的一些重要业务逻辑会在应用中,如果被黑客或者竞争对手逆向破解,很可能导致商秘泄露或者破解版本的盛行等,导致业务发展受阻。 前两点通过自己渗透测试或者寻者渗透测试服务能够解决绝大部分风险; 最后一点比较复杂,自己实施的话建议业务注意前后端逻辑和关键业务逻辑充分分离,不过通常甲方安全工程师很难保证(业务逻辑性和人力审核成本),简单高效的方式就是购买加固服务。 利益相关:网易云易盾提供业内独特的App渗透测试服务(可免费试用),以攻击者的视角,模拟黑客攻击过程,对App(Android、iOS)客户端以及服务端进行深入探测,找出应用系统中存在的缺陷和漏洞,及早发现,及早预防。 整个测试过程分为四步: 1、方案设计:确定渗透测试的时间、方法、测试范围、应急预案等,对整个过程进行监控; 2、信息收集:收集网络拓扑结构,对目标系统进行分析,扫描探测,服务查点,查找系统IP等; 3、扫描渗透:综合收集的情报,借助工具找到目标系统漏洞,进行渗透入侵,从而获得管理权限; 4、检测报告:测试人员根据测试结果,输出渗透测试服务报告。内容包括安全状况、修复建议等。 此外网易云还提供相关应用加固服务,如Android 应用加固、iOS 应用加固等,可以点击免费试用。
  • 1 个回答
    精准营销的五个方面:在合适的时间、合适的地点、将合适的产品以合适的方式提供给合适的人。 想要通过数据分析达到精准营销,其重点在于,通过数据分析找到五个合适及其相互之间的关联,所以提供的方案一定是:我们针对XXX人群,在XXX时间,XXX地点进行XXX的营销方法,给与XXX的营销内容,预计XXX的成果。 首先如何通过数据分析确定什么是合适的人,这是精准营销的基础。 使用用户画像数据分析和用户行为数据分析。 方法有很多种,比如用户的RFM模型: [图片] 用户的访问频率划分等级: [图片] 用户贡献度分析: [图片][图片] 漏斗模型分析: [图片] 雷达图分析: [图片] 使用这些分析图表,形象直观的展示了人群的分布和目标人群的特征,可以针对人群考虑不同的精准营销策略。 然后怎么判断合适的时间、地点、产品、方式,这是精准营销的关键点。 使用交叉对照实验数据分析和历史数据分析。 判断什么是合适的营销策略,不是拍脑袋,也不是讨论就能够的出来的,只有根据历史营销策略表现和制定实验进行数据分析才是得到合适的时间、地点、产品、方式的最佳方法。 其中实验数据的分析和历史数据的分析对照是精准营销中选择合适的营销策略的关键点。 如何进行实验数据的分析呢?要知道实验数据是不断更新的,所以选择一款能够实时更新数据的分析软件尤为重要,省去了很多的拉取数据的时间,其次是实验数据要能够不断的下钻,因为实验的结果数据只是表象,内部的数据的表现才是导致数据结果的原因,如下图所示: [图片] 通过不断的下钻,才可以更准确的找到实验表现的原因。 历史数据的分析更主要的时通过对比来得出结论,加入到现在的市场或者营销环境的影响,得到根据历史数据预测的结果,可以进一步的指导下一步的流程。 最后,怎么使用数据分析来给出销售预测、库存预警、口碑监测等,这是精准营销的保障。 销售预测等可以在营销前期进行机器学习的预测等,网易有数里有对实时刷新的信息的线型预测功能,可以去试试看(点击这里可免费试用),对于库存预警或者是口碑检测这类实时监控可以用一些数据大屏进行,比如现场实时监控等: [图片] 整体来说,精准营销的困难点主要在于数据源的获取,如果数据源很有保障的话,后面做起来会很容易,其次就是对照试验的设置和进行,以及数据的分析,这是掌控着整个精准营销过程的关键,最后是实时监控,可以帮助营销人员实时观察营销情况,做出预警。
  • 1 个回答
    精准营销的 5W 模型,实质就是将目标客户分类(或者是分级),有针对性地制定营销策略。基于大数据的精准营销就是利用大数据技术来支持精确分类,预测营销效果,并根据执行结果、时效性持续改进策略。  我们对精准营销的期待,不外乎降低获客成本、提升营销效率,然而“精准”首先是深刻地理解市场和用户,这就不是低成本能够 hold 住的活儿,而大数据技术的应用让我们能够在把效率做好的同时降低成本(当然指望初期就降低成本需要很高的智慧)。   理解用户、区分用户,基于人口属性、生活习惯和消费行为的用户画像很重要,而提取用户画像需要处理海量的信息和行为日志,要花费大量时间和人力来做。不过,有了用户画像,除了制定精准的渠道策略,还可以实现如下目标:     用户研究:指导产品优化,甚至做到产品功能的私人定制等。 个性服务:个性化推荐,个性化搜索等。 业务决策:排名统计,地域分析,行业趋势,竞品分析等。 这些对精准营销的实施也是很有好处的。  大数据平台的优势,就是让我们能够汇总各种数据来源进行快速分析,从中发现比较准确的用户兴趣特征(用户画像),用来支持精准营销。  优秀的大数据平台不仅要保证分析效果,还要能够降低分析门槛和分析成本。互联网数据质量差别很大,底层的数据集成、数据清洗、离线/实时计算都是必要的,所以网易猛犸一站式大数据管理和应用开发平台的设计,就是以一个平台覆盖各种企业大数据使用场景。上层数据分析,就要提供可指导决策的insight,易用,比如网易有数大数据可视化分析平台,就是一个面向业务人员的自助式敏捷分析平台,可以直接反映营销策略的效果、供应链状况等。   相关回答:网易云:如何通过数据分析达到精准营销的目的?
  • 1 个回答
    Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,网易云易盾资深安全工程师徐从祥为大家详细解读九大常见的Android漏洞,供各位参考。 第一大类:Android Manifest配置相关的风险或漏洞 程序可被任意调试 风险详情:安卓应用apk配置文件Android Manifest.xml中android:debuggable=true,调试开关被打开。 危害情况:App可以被调试。 修复建议:把Android Manifest.xml配置文件中调试开关属性关掉,即设置android:Debugable="false"。 程序数据任意备份 风险详情:安卓应用apk配置文件AndroidManifest.xml中android:allowBackup=true,数据备份开关被打开。 危害情况:App应用数据可被备份导出。 修复建议:把AndroidManifest.xml配置文件备份开关关掉,即设置android:allowBackup="false"。 组件暴露:建议使用android:protectionLevel="signature"验证调用来源。 Activity组件暴露 风险详情:Activity组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,activity被认为是导出的,可通过设置相应的Intent唤起activity。 危害情况:黑客可能构造恶意数据针对导出activity组件实施越权攻击。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 Service组件暴露 风险详情:Service组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,Service被认为是导出的,可通过设置相应的Intent唤起Service。 危害情况:黑客可能构造恶意数据针对导出Service组件实施越权攻击。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 ContentProvider组件暴露 风险详情:Content Provider组件的属性exported被设置为true或是Android API<=16时,Content Provider被认为是导出的。 危害情况:黑客可能访问到应用本身不想共享的数据或文件。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 BroadcastReceiver组件暴露 风险详情:BroadcastReceiver组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,BroadcastReceiver被认为是导出的。 危害情况:导出的广播可以导致数据泄漏或者是越权。 修复建议:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他App共享数据或交互, 请对组件进行权限控制和参数校验。 Intent Scheme URLs攻击 风险详情:在AndroidManifast.xml设置Scheme协议之后,可以通过浏览器打开对应的Activity。 危害情况:攻击者通过访问浏览器构造Intent语法唤起App相应组件,轻则引起拒绝服务,重则可能演变对App进行越权调用甚至升级为提权漏洞。 修复建议:App对外部调用过程和传输数据进行安全检查或检验,配置category filter, 添加android.intent.category.BROWSABLE方式规避风险 第二大类:WebView组件及与服务器通信相关的风险或漏洞 Webview存在本地Java接口 风险详情:android的webView组件有一个非常特殊的接口函数addJavascriptInterface,能实现本地java与js之间交互。 危害情况:在targetSdkVersion小于17时,攻击者利用addJavascriptInterface这个接口添加的函数,可以远程执行任意代码。 修复建议:建议开发者不要使用addJavascriptInterface,使用注入javascript和第三方协议的替代方案。 Webview组件远程代码执行(调用getClassLoader) 风险详情:使用低于17的targetSDKVersion,并且在Context子类中使用addJavascriptInterface绑定this对象。 危害情况:通过调用getClassLoader可以绕过google底层对getClass方法的限制。 修复建议:targetSDKVersion使用大于17的版本。 WebView忽略SSL证书错误 风险详情:WebView调用onReceivedSslError方法时,直接执行handler.proceed()来忽略该证书错误。 危害情况:忽略SSL证书错误可能引起中间人攻击。 修复建议:不要重写onReceivedSslError方法, 或者对于SSL证书错误问题按照业务场景判断,避免造成数据明文传输情况。 webview启用访问文件数据 风险详情:Webview中使用setAllowFileAccess(true),App可通过webview访问私有目录下的文件数据。 危害情况:在Android中,mWebView.setAllowFileAccess(true)为默认设置。当setAllowFileAccess(true)时,在File域下,可执行任意的JavaScript代码,如果绕过同源策略能够对私有目录文件进行访问,导致用户隐私泄漏。 修复建议:使用WebView.getSettings().setAllowFileAccess(false)来禁止访问私有文件数据。 SSL通信服务端检测信任任意证书 风险详情:自定义SSL x509 TrustManager,重写checkServerTrusted方法,方法内不做任何服务端的证书校验。 危害情况:黑客可以使用中间人攻击获取加密内容。 修复建议:严格判断服务端和客户端证书校验,对于异常事件禁止return 空或者null。 HTTPS关闭主机名验证 风险详情:构造HttpClient时,设置HostnameVerifier时参数使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier。 危害情况:关闭主机名校验可以导致黑客使用中间人攻击获取加密内容。 修复建议:APP在使用SSL时没有对证书的主机名进行校验,信任任意主机名下的合法的证书,导致加密通信可被还原成明文通信,加密传输遭到破坏。 SSL通信客户端检测信任任意证书 风险详情:自定义SSL x509 TrustManager,重写checkClientTrusted方法,方法内不做任何服务端的证书校验。 危害情况:黑客可以使用中间人攻击获取加密内容。 修复建议:严格判断服务端和客户端证书校验,对于异常事件禁止return 空或者null。 开放socket端口 风险详情:App绑定端口进行监听,建立连接后可接收外部发送的数据。 危害情况:攻击者可构造恶意数据对端口进行测试,对于绑定了IP 0.0.0.0的App可发起远程攻击。 修复建议:如无必要,只绑定本地ip127.0.0.1,并且对接收的数据进行过滤、验证。 第三大类:数据安全风险 数据存储 SD卡数据被第三方程序访问 漏洞描述:发现调用getExternalStorageDirectory,存储内容到SD卡可以被任意程序访问,存在安全隐患。 安全建议:建议存储敏感信息到程序私有目录,并对敏感数据加密 全局File可读写漏洞-openFileOutput 风险详情:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可读权限MODE_WORLD_READABLE。 危害情况:攻击者恶意读取文件内容,获取敏感信息。 修复建议:请开发者确认该文件是否存储敏感数据,如存在相关数据,请去掉文件全局可读属性。 全局文件可写 风险详情:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可写权限MODE_WORLD_WRITEABLE。 危害情况:攻击者恶意写文件内容破坏APP的完整性。 修复建议:请开发者确认该文件是否存储敏感数据,如存在相关数据,请去掉文件全局可写属性。 全局文件可读可写 风险详情:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可读写权限。 危害情况:攻击者恶意写文件内容或者,破坏APP的完整性,或者是攻击者恶意读取文件内容,获取敏感信息。 修复建议:请开发者确认该文件是否存储敏感数据,如存在相关数据,请去掉文件全局可写、写属性。 私有文件泄露风险-getSharedPreferences 配置文件可读 风险详情:使用getSharedPreferences打开文件时第二个参数设置为MODE_WORLD_READABLE。 危害情况:文件可以被其他应用读取导致信息泄漏。 修复建议:如果必须设置为全局可读模式供其他程序使用,请保证存储的数据非隐私数据或是加密后存储。 配置文件可写 风险详情:使用getSharedPreferences打开文件时第二个参数设置为MODE_WORLD_WRITEABLE。 危害情况:文件可以被其他应用写入导致文件内容被篡改,可能导致影响应用程序的正常运行或更严重的问题。 修复建议:使用getSharedPreferences时第二个参数设置为MODE_PRIVATE即可。 配置文件可读可写 风险详情:使用getSharedPreferences打开文件时,如将第二个参数设置为MODE_WORLD_READABLE 或MODE_WORLD_WRITEABLE。 危害情况:当前文件可以被其他应用读取和写入,导致信息泄漏、文件内容被篡改,影响应用程序的正常运行或更严重的问题。 修复建议:使用getSharedPreferences时第二个参数设置为MODE_PRIVATE。禁止使用MODE_WORLD_READABLE | MODE_WORLD_WRITEABLE模式。 数据加密 明文数字证书漏洞: Apk使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。 明文存储的数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常。 AES弱加密 风险详情:在AES加密时,使用“AES/ECB/NoPadding”或“AES/ECB/PKCS5padding”的模式。 危害情况:ECB是将文件分块后对文件块做同一加密,破解加密只需要针对一个文件块进行解密,降低了破解难度和文件安全性。 修复建议:禁止使用AES加密的ECB模式,显式指定加密算法为:CBC或CFB模式,可带上PKCS5Padding填充。AES密钥长度最少是128位,推荐使用256位。 随机数不安全使用 风险详情:调用SecureRandom类中的setSeed方法。 危害情况:生成的随机数具有确定性,存在被破解的可能性。 修复建议:用/dev/urandom或/dev/random来初始化伪随机数生成器。 AES/DES硬编码密钥 风险详情:使用AES或DES加解密时,密钥采用硬编码在程序中。 危害情况:通过反编译获取密钥可以轻易解密APP通信数据。 修复建议:密钥加密存储或变形后进行加解密运算,不要硬编码到代码中。 数据传输:与上面的重复了,也可以把webview系列的漏洞归入这一小类。 第四大类:文件目录遍历类漏洞 Provider文件目录遍历 风险详情:当Provider被导出且覆写了openFile方法时,没有对Content Query Uri进行有效判断或过滤。 危害情况:攻击者可以利用openFile()接口进行文件目录遍历以达到访问任意可读文件的目的。 修复建议:一般情况下无需覆写openFile方法,如果必要,对提交的参数进行“../”目录跳转符或其他安全校验。 unzip解压缩漏洞 风险详情:解压zip文件,使用getName()获取压缩文件名后未对名称进行校验。 危害情况:攻击者可构造恶意zip文件,被解压的文件将会进行目录跳转被解压到其他目录,覆盖相应文件导致任意代码执行。 修复建议:解压文件时,判断文件名是否有../特殊字符。 第五大类:文件格式解析类漏洞 FFmpeg文件读取 风险详情:使用了低版本的FFmpeg库进行视频解码。 危害情况:在FFmpeg的某些版本中可能存在本地文件读取漏洞,可以通过构造恶意文件获取本地文件内容。 修复建议:升级FFmpeg库到最新版。 安卓“Janus”漏洞 漏洞详情:向原始的App APK的前部添加一个攻击的classes.dex文件(A文件),安卓系统在校验时计算了A文件的hash值,并以”classes.dex”字符串做为key保存, 然后安卓计算原始的classes.dex文件(B),并再次以”classes.dex”字符串做为key保存,这次保存会覆盖掉A文件的hash值,导致Android系统认为APK没有被修改,完成安装,APK程序运行时,系统优先以先找到的A文件执行,忽略了B,导致漏洞的产生。 危害情况:该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。 修复建议:禁止安装有多个同名ZipEntry的APK文件。 第六大类:内存堆栈类漏洞 未使用编译器堆栈保护技术 风险详情:为了检测栈中的溢出,引入了Stack Canaries漏洞缓解技术。在所有函数调用发生时,向栈帧内压入一个额外的被称作canary的随机数,当栈中发生溢出时,canary将被首先覆盖,之后才是EBP和返回地址。在函数返回之前,系统将执行一个额外的安全验证操作,将栈帧中原先存放的canary和.data中副本的值进行比较,如果两者不吻合,说明发生了栈溢出。 危害情况:不使用Stack Canaries栈保护技术,发生栈溢出时系统并不会对程序进行保护。 修复建议:使用NDK编译so时,在Android.mk文件中添加:LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all 未使用地址空间随机化技术 风险详情:PIE全称Position Independent Executables,是一种地址空间随机化技术。当so被加载时,在内存里的地址是随机分配的。 危害情况:不使用PIE,将会使得shellcode的执行难度降低,攻击成功率增加。 修复建议:NDK编译so时,加入LOCAL_CFLAGS := -fpie -pie开启对PIE的支持。 libupnp栈溢出漏洞 风险详情:使用了低于1.6.18版本的libupnp库文件。 危害情况:构造恶意数据包可造成缓冲区溢出,造成代码执行。 修复建议:升级libupnp库到1.6.18版本或以上。 第七大类:动态类漏洞 DEX文件动态加载 风险详情:使用DexClassLoader加载外部的apk、jar 或dex文件,当外部文件的来源无法控制时或是被篡改,此时无法保证加载的文件是否安全。 危害情况:加载恶意的dex文件将会导致任意命令的执行。 修复建议:加载外部文件前,必须使用校验签名或MD5等方式确认外部文件的安全性。 动态注册广播 风险详情:使用registerReceiver动态注册的广播在组件的生命周期里是默认导出的。 危害情况:导出的广播可以导致拒绝服务、数据泄漏或是越权调用。 修复建议:使用带权限检验的registerReceiver API进行动态广播的注册。 第八大类:校验或限定不严导致的风险或漏洞 Fragment注入 风险详情:通过导出的PreferenceActivity的子类,没有正确处理Intent的extra值。 危害情况:攻击者可绕过限制访问未授权的界面。 修复建议:当targetSdk大于等于19时,强制实现了isValidFragment方法;小于19时,在PreferenceActivity的子类中都要加入isValidFragment ,两种情况下在isValidFragment方法中进行fragment名的合法性校验。 隐式意图调用 风险详情:封装Intent时采用隐式设置,只设定action,未限定具体的接收对象,导致Intent可被其他应用获取并读取其中数据。 危害情况:Intent隐式调用发送的意图可被第三方劫持,导致内部隐私数据泄露。 修复建议:可将隐式调用改为显式调用。 第九大类:命令行调用类相关的风险或漏洞 动态链接库中包含执行命令函数: 风险详情:在native程序中,有时需要执行系统命令,在接收外部传入的参数执行命令时没有做过滤或检验。 危害情况:攻击者传入任意命令,导致恶意命令的执行。 修复建议:对传入的参数进行严格的过滤。 如果看完以上干货意犹未尽,可以免费试用网易云易盾Android 应用加固产品,保证解决你的安全难题。