首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

在软件定义网络中使用机器学习的方法进行 DDOS 攻击检测与缓解-实验

在软件定义网络中,使用机器学习的方法进行DDoS攻击检测与缓解是一个非常有前景的研究方向。通过利用大量的网络数据和流量,机器学习算法可以自动发现异常行为和威胁,从而有效减轻DDoS攻击的影响。以下是该领域的实践探索以及相关优势、应用场景:

使用机器学习进行DDoS攻击检测

  • 识别多种攻击模式:机器学习算法可以学习并识别不同类型的DDoS攻击模式,如洪水攻击、慢速攻击、协议攻击等。
  • 自动适应变化环境:机器学习模型可以自动适应网络环境的变化,从而更加准确地识别和预测DDoS攻击。
  • 提前预警与防护:通过实时监测网络流量和流量来源,机器学习模型可以提前发现异常行为并预警潜在攻击。

使用机器学习进行DDoS攻击缓解

  • 流量调度:通过对网络流量进行分析,机器学习算法可以优化流量调度,缓解DDoS攻击对网络安全和业务的影响。
  • 自动带宽管理:基于机器学习的网络资源分配,可以实现自动带宽管理和资源控制,从而避免出现网络拥堵和系统拒绝服务。

推荐产品:

腾讯云DDoS防护产品「腾讯云DDoS防护(Anti-DDoS)」提供了针对不同类型、大小的DDoS攻击的全方位防护,包括:

  • 基础防护:针对DDoS攻击提供基础安全防护,防御流量型攻击和应用层攻击,支持TCP/HTTP/DNS/UDP协议。
  • 高级防护:提供更加专业的防护服务,包括低频访问防护、零攻击防护等高级攻击防范手段。
  • 超值套餐包:针对不同场景和需求,提供多种DDoS防护套餐,有效降低企业安全防护成本。

产品链接:https://cloud.tencent.com/product/ddos.html

总结

在软件定义网络中使用机器学习进行DDoS攻击检测和缓解,可以有效地防御不同类型的攻击和变化的网络环境,提高网络服务的可用性和稳定性。腾讯云DDoS防护产品提供了多种套餐和定制服务,为企业安全防护提供了优质解决方案。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

一文了解如何有效防护DDoS攻击

卡巴斯基实验一份报告显示,近年来时间最长DDoS攻击之一发生在2018年1月,它持续了将近300个小时。 发起DDoS攻击有两种常见方法: · 利用软件漏洞。...异常检测:统计模型和机器学习算法(例如神经网络,决策树和近邻算法)可用于分析网络流量并将流量模式分类为正常或DDoS攻击。你还可以搜索其他网络性能因素异常,例如设备CPU利用率或带宽使用情况。...基于知识方法使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法,你可以通过将流量已知攻击特定模式进行比较来检测DDoS。...例如,一些云提供商使用anycasting网络具有相同IP地址多台机器之间划分大量请求。 使用第三方DDoS缓解服务?–考虑将web应用程序保护委托给第三方供应商。...DDoS缓解服务甚至可以问题流量到达受害者网络之前将其清除。你可以从基于DNS网关服务或基于协议解决方案查找有问题边界攻击

4.6K20

如何在 Kubernetes 环境检测和阻止 DDoS 攻击

DDoS 是 DoS 一种形式,其中攻击来自多个来源(机器人),通常分布各个地理位置。想象一下,您手机很短时间内收到数千个垃圾电话,而其中一个合法电话正在尝试您联系。...为什么您应该为容器应用程序投资 DDoS 解决方案 我们了解 DDoS 攻击技术方面以及 Calico 如何帮助检测缓解此类攻击之前,让我们先考虑一下它可能造成损害。...当恶意软件被成功植入以进行 DDoS 活动时,很难保护横向通信。 攻击 DoS 技术变得越来越老练。 DDoS 攻击是如何进行? 威胁者使用各种技术作为 DDoS 攻击一部分。...最后创建全局网络策略。请注意我们如何使用之前在网络集中定义相同标签。展望未来,该标签可以跨多个策略使用,甚至可以命名空间网络策略中使用。...结论 由于 Kubernetes 应用程序会带来同等甚至更大 DDoS 攻击安全风险,因此组织需要新方法检测缓解这些威胁。

48020
  • 机器学习安全攻防场景应用分析

    监督学习,需要处理数据已事先打上标签(具有人为定义标记特征),无监督学习之相反。安全分析时,需要视具体情况而决定采用哪一类方法。...由于垃圾和诈骗短信识别和分类涉及到自然语言处理技术机器学习模型, 360使用语言学规则统计学方法相结合方式来定义伪基站短信特征,可从海量数据精确识别出伪基站短信,因而其识别精度可达 98%。...Phinn 使用机器学习领域中卷积神经网络算法来生成和训练一个自定义Chrome扩展,这个 Chrome扩展可以将用户浏览器呈现页面真正登录页面进行视觉相似度分析,以此来识别出恶意URL(...、金融模型等评估方法机器学习安全应用从鱼叉式网络钓鱼检测,恶意用户点击流识别,欺诈电话短信分析,到金融信用欺诈等 入侵攻击检测方面,区别传统基于规则策略、正则匹配等,机器学习安全应用从DDoS...从上述案例不难看出,机器学习安全风控方面应用难点主要包括如下3点: 1)机器学习需要尽可能平衡高质量数据集,而在安全领域,无论是风险欺诈、网络钓鱼、恶意软件等,通常包含大量正常样本极少量安全隐患

    8.4K80

    网络安全自学篇(二十二)| 基于机器学习恶意请求识别及安全领域中机器学习

    在此基础上,将DDoS攻击检测转化为机器学习二分类问题。...由于垃圾和诈骗短信识别和分类涉及到自然语言处理技术机器学习模型, 360使用语言学规则统计学方法相结合方式来定义伪基站短信特征,可从海量数据精确识别出伪基站短信,因而其识别精度可达 98%。...Phinn使用机器学习领域中卷积神经网络算法来生成和训练一个自定义Chrome扩展,这个 Chrome扩展可以将用户浏览器呈现页面真正登录页面进行视觉相似度分析,以此来识别出恶意URL(钓鱼网站...、金融模型等评估方法机器学习安全应用从鱼叉式网络钓鱼检测,恶意用户点击流识别,欺诈电话短信分析,到金融信用欺诈等 入侵攻击检测方面:区别传统基于规则策略、正则匹配等,机器学习安全应用从DDoS...从上述案例不难看出,机器学习安全风控方面应用难点主要包括如: 机器学习需要尽可能平衡高质量数据集,而在安全领域,无论是风险欺诈、网络钓鱼、恶意软件等,通常包含大量正常样本极少量安全隐患,

    4.3K80

    杀毒软件直接扫描电磁波,查木马准确率99.82%

    来自法国计算机科学随机系统研究所研究团队创建了一个以树莓派为中心反恶意软件系统,该系统可以扫描设备电磁波来检测恶意软件。...最重要是,这种检测技术并不需要任何软件,正在被扫描设备也不需要以任何方式进行操作。因此,攻击方尝试使用混淆技术隐藏恶意代码是不可行。 「我们方法不需要对目标设备进行任何修改。...因此,它可以独立于可用资源进行部署,而无需任何开销。此外,这种方法优点在于,恶意软件作者几乎无法检测和规避它。」研究人员论文中写道。...最后,使用这个输出,研究者训练了神经网络模型和机器学习算法,以便分类恶意软件类型、二进制文件、混淆方法,并检测一个可执行文件是否打包。 实验及结果 该研究实验第一步是数据采集。...图 5(a)显示了每个执行二进制混淆矩阵预测类 (预测标签)。颜色越深,正确预测标签比例越高。良性 rootkit 类任何其他类之间没有混淆,双向 DDos 和勒索软件之间有一点混淆。

    52810

    3.安全领域中机器学习机器学习恶意请求识别案例分享

    攻击感知方面,可从宏观攻击流感知微观检测方法两个角度,分别基于IP流序列谱分析泛洪攻击低速率拒绝服务(Low-rate Denial of Service,LDoS)方法进行感知。...由于垃圾和诈骗短信识别和分类涉及到自然语言处理技术机器学习模型, 360使用语言学规则统计学方法相结合方式来定义伪基站短信特征,可从海量数据精确识别出伪基站短信,因而其识别精度可达 98%。...Phinn使用机器学习领域中卷积神经网络算法来生成和训练一个自定义Chrome扩展,这个 Chrome扩展可以将用户浏览器呈现页面真正登录页面进行视觉相似度分析,以此来识别出恶意URL(钓鱼网站...、金融模型等评估方法机器学习安全应用从鱼叉式网络钓鱼检测,恶意用户点击流识别,欺诈电话短信分析,到金融信用欺诈等 入侵攻击检测方面: 区别传统基于规则策略、正则匹配等,机器学习安全应用从DDoS...从上述案例不难看出,机器学习安全风控方面应用难点主要包括如: 机器学习需要尽可能平衡高质量数据集,而在安全领域,无论是风险欺诈、网络钓鱼、恶意软件等,通常包含大量正常样本极少量安全隐患,

    1.8K30

    企业防御DDoS越发困难?教你技术要点以确保再难被入侵

    防御DDoS方法一般公司通常实施以下三种部署模式之一,但为了从这些方法受益并充分防御多矢量攻击,通常建议组织采用混合部署模式。 主动式:主动式部署模式始终会监视传入流量并对其进行检测缓解。...因此,这是企业将基于数据包检测缓解设备放置在网络边缘一种极其有效方法。 被动式:为了得到充分掌握网络流量反应性部署模式使用基于流数据。...混合型:混合部署模式使用按需云缓解功能来应对容量攻击,以及基于行和本地数据包解决方案,这些解决方案旨在检测缓解DDoS攻击三种主要类型:容量,网络协议和应用。...DDoS攻击就是能够利用受控机器向一台机器进行发起攻击,这样攻击由于来势迅猛就让攻击难以令人进行防备,也正是如此这种攻击就具有很大破坏性,遭受流量攻击期间,有效防御DDoS措施包括: 措施一:设置防火墙...措施三:利用网络设备来进行保护网络资源 防御DDoS攻击是指网络设备就是路由器和防火墙等负载均衡设备将网络给有效进行保护起来;当网络被黑客攻击时候最先受到影响是路由器,其他设备并没有受到影响;对于受到影响路由器仅仅只需要重启就能恢复正常使用

    36320

    企业防御DDoS普遍会用什么方式来解决问题,以减少自身损失?

    在这个角度来看,DDoS攻击行业涉及到多个利益环节,首先,会有一个软件开发团队专门用来负责写木马,木马开发完成之后,将会交由木马运营团队和销售团队进行销售,DDoS行业已经是一个高度发达、高度发展行业...而僵尸网络运营者将会拿到这些木马并且进行挂马传播,最终使客户主机和电脑受到入侵,成为僵尸网络一员,而僵尸网络最终也会成为DDoS攻击一个资源提供者。...另外有一波软件开发人员,他们用来开发DDoS攻击平台,DDoS攻击平台开发完成之后,将会有DDoS开发平台销售去向客户进行销售这种DDoS攻击平台。...1.设置防火墙服务器骨干节点配置防火墙,防火墙是可以抵御部分攻击遇到攻击时候,可以智能攻击导向到别处,保护真正主机不会受到攻击。 2.增加网络资源用充足网络资源承受黑客攻击。...如果再使用负载均衡设备,这样就更方便了,一台路由器死掉了,立马就切换到另一台上。 5.检测访问来源反向路由器查询检测访问ip地址是否真实,只放行真实ip。这样也可抵御攻击,提高网络安全性。

    40200

    中小企业网络安全建设指引(2017-02-14)

    普通区高危区网络隔离或者二者之间用DMZ做缓冲,比如安全形势复杂办公环境生产环境隔离,生产环境内部核心机器普通机器隔开。...同时它也支持自定义脚本,常被用于绕过WAF防护进行注入,可扩展性较强。...作为一款HIDS,它在业界是比较多见推荐解决方案,不过实践过程,HIDS核心功能是采集日志发送到后台,所以前端解决方案用Nagios、Cacti或者任意Agent搭配自定义脚本,也能实现模型...《Web安全测试》 介绍很多Web安全测试工具,讲述各种Web漏洞测试挖掘方法,很有实战价值。其中推荐一些FireFox插件依然是当前Web测试常用工具。...”SuperHei)运营一个社区平台和漏洞搜索引擎,关注热点漏洞和新式攻击方法,另外还有安全技术社区paper、开源漏洞测试框架Pocsuit等多个平台,是学习安全技术好地方。

    1K30

    Gartner:AI和自动化将是新一代SASE关键能力

    Gartner分析师表示:由于SASE厂商掌握着海量网络和安全威胁数据,因此应用AI和机器学习方面有着天然优势。...将AI用于安全和事件异常检测以及对事件进行分类,其主要好处是加快了检测速度,同时大幅减少了误报。 2、网络分析和修复 如今企业纷纷转向智能网络,利用AI和机器学习做出决策,尽可能减少人工干预。...通过使用所有的已知漏洞训练AI模型,可以立即发现并阻止尚未发生攻击,许多新攻击是之前已知威胁不同版本。一些威胁受益于监控和自动缓解机制,而更复杂攻击仍需要有劳安全专家处理。...7、DDoS 攻击缓解 不安全联网设备持续增多,组织改用高速5G网络,以及服务化分布式拒绝攻击产业迅猛发展,让企业面临更严峻DDoS 攻击威胁。...对于DDoS之类攻击,组织需要拥有能非常迅速应对能力。DDoS攻击缓解是SASE厂商们提供常见功能,也是用户相信AI能处理好最简单任务之一。

    27830

    未来趋势 | 自学习网络或许会在2018年替代传统僵尸网络

    Manky警告称:“Hivenet可以对包含漏洞目标系统进行自我学习,而且学习效率非常高,规模也非常大。如果恶意软件能够整合这种特性(代码)的话,它们所进行恶意活动将会变得更加灵活、敏捷和迅速。...Octopi安全研究实验首席技术官Ian Trump表示,如果网络犯罪分子能够利用人工智能或机器学习技术来建立杀伤力更强僵尸网络,那这对于我们来说绝对是一个噩耗,这种行为绝对是“令人发指”。...但是他又补充说到,就目前情况来看,如果想要将机器学习或者人工智能技术应用到受感染物联网设备,还需要突破很多技术限制,而且现在物联网设备其计算能力还十分有限。...考虑到企业环境的话,Trump认为:“当某个僵尸网络对你企业发动DDoS攻击,垃圾邮件攻击或者点击欺诈攻击时,无论发动攻击是普通僵尸网络还是Hivenet自学习网络,其实都不重要了。...Fotinet公司系统工程师Simon Bryden接受采访时也说到:“对于企业来说,想要缓解或者应对自学习型僵尸网络攻击,肯定会被之前面对传统攻击要难得多,因为这种类型攻击每时每刻都在发展进化

    48960

    2020-2028年,企业对DDoS防护软件市场需求不断增长

    推动DDoS防护和缓解市场增长因素 近年来,网络攻击事件有所增加,这主要是由于向数字化转变、连接设备数量增加以及处理器计算能力提高多重因素所致。因此,迫切需要开发软件解决方案来缓解这些威胁。...如今,市场上许多供应商都提供了可防止网站遭受这些攻击软件解决方案。 它使用算法和高级软件来管理网站传入流量。此外,它还会拒绝对非法流量访问,并且只让合法人员通过访问。...2020年至2028年之间,硬件解决方案和服务预计将增长,以确定网络连接并减少设备或电源故障时停机时间。 DDoS部署模型 部署方面,DDoS保护和缓解市场分为云、本地和混合。...提供DDoS检测缓解解决方案主要参与者 随着DDoS攻击持续增长,提供软件解决方案来检测缓解此类攻击参与者也越来越多。...Technologies Verisign Nexusguard DDoS防护和缓解市场最大市场份额 根据Market Research Inc数据报告显示,2020-2028年期间,北美将在DDoS

    95040

    如何从IP源地址角度,预防DDoS攻击

    通过使用欺骗性请求充Memcached服务器,攻击者能够将其攻击放大约50,000倍。幸运是,GitHub正在使用DDoS保护服务,该服务攻击开始后10分钟内自动发出警报。...随着技术不断进步,攻击源追踪技术已经追踪速度、自动化程度、追踪精确度等方面取得显著进步, DDoS网络攻击检测也分为多种方式。那要如何从IP源地址角度预防DDoS攻击呢?...且此特征无法隐藏.基于这个特征,如果能够对IP地址进行实时监测判定,便能够有效地检测DDoS攻击,特别是攻击源地址分布均匀 DDoS 攻击,采用新源地址出现速率作为攻击是否发生依据,通过监测访问流数量变化...埃文科技IP应用场景数据库包含了43亿全量IP数据,可有效识别机器、爬虫流量、“非人类使用者”等多种网络风险。...及时更新网络安全设备和软件,检查电脑漏洞,能够有效监测恶意软件,降低操作系统被感染风险,同时也要提高个人计算机安全防护意识,创造一个安全计算机使用环境。

    24310

    腾讯安全联合实验室力挫 DDoS 攻击

    目前,云鼎实验室已快速协同腾讯电脑管家行业相关单位拉响安全警报,还联合腾讯云率先布局云端防御,腾讯云大禹系统专业抗 D(抵抗 DDoS 攻击)已布局防御云端服务器安全,腾讯电脑管家保障用户终端电脑安全...腾讯云鼎实验室对本次DDoS活动攻击机器进行分析,发现“暗云Ⅲ”已再度更新。 通过对流量、内存DUMP数据等内容进行分析,腾讯云鼎实验室明确了暗云木马本次DDoS攻击活动关系。...不仅如此,“云镜”基于腾讯安全积累海量威胁数据,还可以利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务。...另外,对于受到攻击网络业务,无论是否部署腾讯云上,都可以最快10秒时间内接入腾讯云大禹 BGP 高防清洗攻击流量,保障业务运行。...关于腾讯云鼎实验室: 腾讯安全联合实验室之一,是一支专门关注腾讯云安全体系建设,专注于云上网络环境攻防研究和安全运营,利用基于机器学习等前沿技术理念,打造云安全产品顶尖技术团队。

    1.7K60

    网络安全」WEB 应用防火墙 是什么,部那里,如何用和为什么?

    受恶意软件感染计算机用于执行DDoS攻击,身份盗用和收集数据。除非客户机由经验丰富IT团队监督,否则可用检测缓解方法是有限。 最后,还有DDoS攻击。它们不仅仅是体积本质。...高级WAF提供了检测缓解当今在线世界存在高级攻击所需所有机制。 ?...第7层行为DoS检测缓解 - F5高级WAF能够动态分析流量并为异常流量模式创建签名,DDoS攻击到达您应用程序之前阻止它们。...最后想法… 我们使用大量应用程序和软件解决方案进行大多数私人和业务通信时候,我们应该将注意力集中保护它们上。...在过去一年,42%网络攻击目标企业指向外部资源,两种最广泛使用攻击方法针对Web应用程序和各种软件漏洞。

    94030

    你必须要会防护DDoS技术,轻松化解流量攻击难题

    这些攻击通常数量较大,具有清晰标识且易于检测,旨在让网络或应用程序服务器容量过载。 应用层攻击基础设施层攻击相比往往更加复杂,指的是表示层和应用层攻击。...要防护ddos攻击就首先必须先知道检测攻击,就是了解什么是正常和异常流量。需要了解目标通常接收良好流量特征,并能够将每个数据包基线进行比较。...良好DDoS防护技术可以从以下三方面进行: 一、为复杂应用程序攻击部署防火墙 防御利用应用程序本身漏洞进行攻击最佳方式是使用Web应用程序防火墙,如SQL注入或跨站点请求伪造。...可以较大计算资源上运行,也可以通过具有更多支持较大容量广泛网络接口或增强网络等功能资源。此外,使用负载均衡器持续监控和转移资源之间负载也很常见,以防止任何一个资源过载。...随着DDoS攻击多年发展,攻击类型和规模越来越多样化和复杂化,企业选择防护DDoS措施时,一定要先分析攻击类型和规模,再选择合适高防服务。攻较量,道高一尺魔高一丈。

    2.9K20

    史上最大规模 DDoS 攻击,每秒 1720 万次 HTTP 请求

    攻击使用了由 20000 多个受感染设备组成僵尸网络向该客户网络发送大量HTTP 请求,以耗尽服务器资源,从而使其崩溃。 这种攻击名为容量耗尽DDoS,不同于典型带宽DDoS攻击。...Cloudflare 表示,从受感染设备(机器人程序)IP地址来看,攻击流量 15% 来自印度尼西亚,而另外 17% 来自印度和巴西。...从高层次来看,DDoS就像高速公路交通堵塞,阻止了常规交通到达其所需目的地。 DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。...一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个机器人发送更新指令来指导机器。...其中一个目标是位于亚太地区主要互联网服务、电信和托管服务提供商。另一个是游戏公司。在所有情况下,攻击都被自动检测缓解,无需人工干预。

    1.9K40

    防御DDoS你做对了吗?这三点告诉你成功关键在哪里

    如果能在电信运营商网络侧加强防御DDoS能力,实现对DDoS攻击流量电信运营商网络及时处理,保护业务和保持服务可用性能力直接取决于对这些多层次威胁响应速度,则可有效减少DDoS攻击流量对互联网应用和电信运营商网络危害...在这一方面,解决方案选择对于风险预测具有重要意义。IPS设备、防火墙等安全产品是分层防御策略基本组成部分,但它们针对解决问题专业攻击检测和风险缓解产品有着根本不同。...虽然这些安全产品可以有效解决“网络完整性和保密性”问题,但无法解决DDoS攻击相关根本问题——“网络可用性”。...部署混合攻击防御DDoS措施会组合使用本地威胁缓解方案和云端威胁缓解方案,当攻击规模达到特定阈值时,IDMS发出信号可以立即自动激活云端防御措施。...借助正确IDMS通常可以安全操作人员意识到攻击之前自动检测攻击并启动风险缓解措施。由于攻击规模变得越来越大,而攻击方法涉及越来越多应用层,这一点尤为重要。

    30520

    关于AutoML应用于网络威胁思考

    一、前言 威胁检测网络安全领域一个重要方向。如今在网络安全公司已经开展了很多利用机器学习、深度学习方法进行威胁检测研究。...不少安全研究人员利用专家知识结合机器学习网络威胁通过模型算法检测出来。但是这个过程不仅仅需要巨大算力,而且需要引入过多的人力才能够找到适合场景模型算法,后期甚至花大量时间进行参数优化。...而NAS神经网络架构搜索算法是AutoML另一种研究方式,区别于传统机器学习模型,NAS神经网络模型可以通过不同神经网络结构进行定义(例如CNN、RNN等),因此不同业务场景中所使用最佳神经网络架构可能是不一样...图6 – 强化学习过程 目前网络安全威胁检测领域已经部署了一些基于机器学习以及深度学习模型算法,网络威胁检测面临数据量大、场景变化多、攻击者手法复杂特点,因此每次安全研究专家针对单一数据集、单一攻击场景进行建模并训练检测模型...AutoML未来应用在产品过程,还需要对灵活性以及可解释性进行进一步研究探讨。 关于伏影实验室 伏影实验室专注于安全威胁监测技术研究。

    56020

    针对爱尔兰DDoS攻击取证分析

    本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。...这点我们无从得知,因为攻击 NTP 请求数据包成功伪造了源 IP 地址。我们认为这些客户端都是僵尸网络一部分,统一接收到命令后就开始攻击目标网络,这些僵尸网络可能拥有成千上万客户端。...报告中出现任何本地服务器都需要检测其服务器上是否含有恶意软件,因为这些服务器可能是因为恶意软件从而变成僵尸网络一个节点也可能其本身就是用于传播恶意软件服务器。...如何缓解 DDoS 攻击 说到缓解 DDoS 攻击有很多选择,但它取决于你当前情况,如果你目前正在遭受攻击,你可能需要: 1、询问你 ISP 是否可以屏蔽攻击流量。...高性能防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模 DDoS 攻击; 3、如果你网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施; 4、一些极端情况下

    1.2K70
    领券