專利名稱:用于保護(hù)網(wǎng)絡(luò)的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種保護(hù)網(wǎng)絡(luò)的裝置和方法,尤其涉及一種使用硬件邏輯來檢測 并阻擋網(wǎng)絡(luò)包上的動態(tài)攻擊的保護(hù)網(wǎng)絡(luò)的裝置和方法。
背景技術(shù):
圖1是示出了常規(guī)網(wǎng)絡(luò)安全裝置的配置的視圖��。參照圖1���,對應(yīng)于第一安全模塊的模式匹配引擎21首先執(zhí)行基于硬件的過濾 以檢測通過接口 (I/F)單元10輸入的網(wǎng)絡(luò)包的靜態(tài)攻擊。然后,作為該過濾結(jié)果 的被確定為正常的包以及執(zhí)行過濾過程的結(jié)果通過外圍組件互連30(下文稱為PCI) 被發(fā)送到對應(yīng)于第二安全模塊的主中央處理器(CPU) 40��。對應(yīng)于第二安全模塊的該主CPU 40根據(jù)協(xié)議將發(fā)自模式匹配引擎的21的正 常包分類�����,重新配置IP包�,并運(yùn)行預(yù)先定義的用于檢測針對每個協(xié)議的動態(tài)攻擊 的'動態(tài)攻擊檢測模塊'�,即對動態(tài)攻擊執(zhí)行基于軟件的過濾���。另外��,在模式匹配 引擎21和主CPU 40過濾了靜態(tài)和動態(tài)攻擊之后�,主CPU 40將基于每次過濾的結(jié) 果的響應(yīng)策略發(fā)送到響應(yīng)引擎22以阻擋異常包�。如上所述���,在現(xiàn)有技術(shù)中�����,僅網(wǎng)絡(luò)包的靜態(tài)攻擊是基于硬件檢測的,而動態(tài) 攻擊是基于軟件由主CPU 40來檢測的�����。相應(yīng)地�����,以上現(xiàn)有技術(shù)具有以下問題。首先�,由于主CPU40通過基于軟件來處理的后檢測邏輯檢測動態(tài)攻擊,所以 在檢測的準(zhǔn)確度和實時要求上具有弱點。例如,如果添加了檢測過濾器以檢測動態(tài) 攻擊���,則由于主CPU40處理性能的退化而降低了對其它攻擊的檢測能力���,由此而 導(dǎo)致的包丟失使得檢測動態(tài)攻擊的能力下降�����。另外,由于對應(yīng)于第一安全模塊的模式匹配引擎21將正常包和過濾結(jié)果發(fā)送 到對應(yīng)于第二安全模塊的主CPU 40并由主CPU處理該包�����,如果在發(fā)送該正常包 和過濾結(jié)果時傳輸被延遲��,則發(fā)生隨后所發(fā)送的正常包和過濾結(jié)果的丟失。發(fā)明內(nèi)容相應(yīng)地��,本發(fā)明的一個目的在于提供一種實現(xiàn)用于阻擋動態(tài)攻擊的硬件邏輯 的網(wǎng)絡(luò)安全裝置。本發(fā)明的另一目的在于提供一種網(wǎng)絡(luò)安全裝置���,其中用于過濾靜態(tài)和動態(tài)攻 擊的裝置被集成在單塊板上�����。本發(fā)明的又一目的在于提供一種用于通過基于硬件的過濾功能來檢測和處理 靜態(tài)及動態(tài)攻擊的網(wǎng)絡(luò)安全方法�。根據(jù)本發(fā)明的用于實現(xiàn)以上目的方面�����,提供了一種網(wǎng)絡(luò)安全裝置,包括第 一安全模塊��,用于檢測網(wǎng)絡(luò)包上的靜態(tài)攻擊�����;第二安全模塊�����,用于檢測網(wǎng)絡(luò)包上未 被第一安全模塊檢測到的動態(tài)攻擊;以及響應(yīng)引擎,用于提供基于第一安全模塊和 第二安全模塊的檢測結(jié)果的響應(yīng)策略,其中第一安全模塊和第二安全模塊通過執(zhí)行 基于硬件邏輯的過濾過程來檢測靜態(tài)攻擊和動態(tài)攻擊����。第一安全模塊和第二安全模塊可一同設(shè)在阻擋板上。第一安全模塊和第二安全模塊可通過POS-PHY第三層(PL3)接口來互連以 傳送包����。第二安全模塊可通過PCI接口連接至主CPU����,其中主CPU管理第一安全模塊 和第二安全模塊的安全策略����。第二安全模塊可包括根據(jù)動態(tài)攻擊的類型與該動態(tài)攻擊的類型一一對應(yīng)的 一個或多個存儲器����;閾值存儲單元�,用于存儲與該動態(tài)攻擊類型的動態(tài)攻擊名稱一 一對應(yīng)的至少一個閾值��;以及控制單元�����,用于通過訪問對應(yīng)于該動態(tài)攻擊類型的相 關(guān)存儲器并將在一定時間段內(nèi)計數(shù)的檢測到該動態(tài)攻擊的次數(shù)與對應(yīng)于該動態(tài)攻 擊名稱的閾值相比較來確定是否存在動態(tài)攻擊���。第二安全模塊可以是基于現(xiàn)場可編程門陣列(FPGA)的高速包處理器。根據(jù)本發(fā)明的另一方面,提供了一種網(wǎng)絡(luò)安全方法�,包括靜態(tài)攻擊過濾步 驟����,用于執(zhí)行基于硬件的針對網(wǎng)絡(luò)包靜態(tài)攻擊的過濾過程��;動態(tài)攻擊過濾步驟�,用 于執(zhí)行基于硬件的針對正常包動態(tài)攻擊的過濾過程���,該正常包在靜態(tài)攻擊過濾步驟 中被確定為正常�;以及響應(yīng)步驟���,用于執(zhí)行基于靜態(tài)攻擊和動態(tài)攻擊的過濾結(jié)果的 響應(yīng)策略�。該方法還可包括用于存儲過濾靜態(tài)攻擊和動態(tài)攻擊的結(jié)果的存儲步驟�。 在靜態(tài)攻擊過濾步驟中被確定為正常的正常包可通過POS-PHY第三層(PL3)接口來傳送����。動態(tài)攻擊過濾步驟可存儲與動態(tài)攻擊名稱一一對應(yīng)的至少一個閾值,并在于 一定時間段內(nèi)計數(shù)的檢測到該網(wǎng)絡(luò)包的動態(tài)攻擊的次數(shù)超過相應(yīng)閾值時將該網(wǎng)絡(luò) 包確定為異常����。動態(tài)過濾步驟可在基于FPGA的高速包處理器中實現(xiàn)。動態(tài)過濾步驟可在與想要檢測的動態(tài)攻擊的類型相對應(yīng)的相應(yīng)存儲器區(qū)域中 分析正常包�����。動態(tài)攻擊的類型可包括DoS���、 DDoS�����、碎片DoS、 IP掃描�、和掃描中的至少一種�。動態(tài)攻擊名稱可包括SYN淹沒(SYN flood) ���、 UDP淹沒(UDP flood) �、 DoS 回音(DoSecho) (TCP及UDP) 、 ping淹沒(ping flood) 、 sun殺死(sun kill)���、 SolSyslogd���、 DoSChargen��、脆弱攻擊(Fraggle)���、淹沒式拒絕服務(wù)攻擊(Smurf)、 陸地攻擊(land attack) ����、 Winnuke�����、 SynFin攻擊�、TCP無標(biāo)志攻擊�����、ARP攻擊����、 ICMP大型包攻擊、FTP跳轉(zhuǎn)(FTP bounce) ����、 IP掃描、地址掃掠(address sweep) 攻擊�����、SYN掃描��、非SYN (NonSYN)掃描�、Xmas掃描、微(Tiny)掃描��、UDP 端口掃描�����、以及FIN掃描中的至少一種�����。根據(jù)上述配置和流程,根據(jù)本發(fā)明的一種保護(hù)網(wǎng)絡(luò)的裝置和方法����,其支持基 于硬件檢測和阻擋動態(tài)攻擊,使用硬件邏輯檢測網(wǎng)絡(luò)包上的動態(tài)攻擊并執(zhí)行對該動 態(tài)攻擊的響應(yīng)����。
圖1是示出了常規(guī)網(wǎng)絡(luò)安全裝置的示圖。圖2是示出了應(yīng)用于本發(fā)明的一個優(yōu)選實施例的網(wǎng)絡(luò)安全裝置的示圖��。 圖3是圖2中動態(tài)攻擊檢測模塊的詳圖��。圖4是示出了用于描述本發(fā)明的根據(jù)類型分類的動態(tài)攻擊的示例的表�。 圖5是示出了應(yīng)用于本發(fā)明的一個優(yōu)選實施例的網(wǎng)絡(luò)安全方法的流程圖����。
具體實施方式
以下,將參照附圖更加具體地描述支持基于硬件的動態(tài)攻擊檢測和阻擋的保 護(hù)網(wǎng)絡(luò)的裝置和方法���。圖2是示出了應(yīng)用于本發(fā)明的一個優(yōu)選實施例的網(wǎng)絡(luò)安全裝置的示圖�,圖3 是圖2中動態(tài)攻擊檢測模塊的詳圖����,而圖4是示出了根據(jù)類型來分類的動態(tài)攻擊的示例的表����。參照圖2���,提供了一種用于執(zhí)行一般性完整性測試并在從網(wǎng)絡(luò)接口單元100收集包時檢測這些包的靜態(tài)攻擊的第一安全模塊����。該第一安全模塊包括基于安全策略信息來測試包的模式匹配引擎210����,以及基于預(yù)定的響應(yīng)策略來阻擋包的響應(yīng)引 擎220。然后�����,提供了第二安全模塊作為動態(tài)攻擊檢測模塊230以用于檢測包上未被 第一安全模塊檢測到的動態(tài)攻擊(淹沒���、拒絕服務(wù)(DoS)�、分布式DoS (DDoS)��、 掃描等)����。動態(tài)攻擊檢測模塊230是使用基于現(xiàn)場可編程門陣列(以下被稱為FPGA) 的高速包處理器來實現(xiàn)的��。這意味著傳統(tǒng)上由安裝在主板上的主CPU 400來處理 的檢測諸如淹沒��、DoS�、 DDoS�、以及掃描攻擊的動態(tài)攻擊的功能是基于硬件來處 理的。第一安全模塊和第二安全模塊沒有被配置在其上安裝有主CPU 40的主板上����, 而是被配置于芯片形式的一單獨的阻擋板上。此第一和第二安全模塊在該阻擋板上 以POS-PHY第三層(PL3)方式來相互接口�����。另外��,主CPU通過PCI 300控制被配置于阻擋板上的模式匹配引擎210和動 態(tài)攻擊檢測模塊230并管理與阻擋板的安全策略接口���。同時,動態(tài)攻擊檢測模塊230設(shè)有處理各種動態(tài)攻擊的多個存儲器(SRAM)����。 這將參照示出了動態(tài)攻擊檢測模塊230的詳細(xì)配置的圖3來描述。圖3示出了圖2中動態(tài)攻擊檢測模塊的詳細(xì)配置�����。參照圖3,設(shè)置了訪問控制列表(以下被稱為ACL) SRAM 233��,用于存儲 通過PCI 300從主CPU 400輸入的安全策略�;以及SRAM1 232-1到SRAM4 232-4, 分別用于根據(jù)動態(tài)攻擊的類型存儲與動態(tài)攻擊一一對應(yīng)的攻擊名稱(參照圖4)�����。然后��,設(shè)置了控制單元231�����,用于在通過PL3接口從模式匹配引擎210發(fā)送 正常包時根據(jù)預(yù)先存儲在ACL SRAM 233中的安全策略執(zhí)行針對正常包的動態(tài)攻 擊的基于硬件的過濾過程���?����?刂茊卧?31將所發(fā)送的正常包根據(jù)協(xié)議進(jìn)行分類�、重 新配置IP包����、并根據(jù)預(yù)先存儲在ACL SRAM 233中的安全策略檢測針對每種協(xié)議 的動態(tài)攻擊��。此時��,控制單元231根據(jù)想要檢測的動態(tài)攻擊的類型選擇性地使用與 相應(yīng)動態(tài)攻擊類型——對應(yīng)的SRAM1 232-1到SRAM4 232-4���,以及根據(jù)動態(tài)攻擊 選擇性地使用至少一個或多個閾值。如此配置的動態(tài)攻擊檢測模塊230在過濾動態(tài)攻擊結(jié)束時通過PCI 300將過濾 結(jié)果發(fā)送至主CPU 400��。然后���,主CPU 400將基于所發(fā)送的過濾結(jié)果的響應(yīng)策略通過PCI 300發(fā)送至響應(yīng)引擎220以及動態(tài)攻擊檢測模塊230以阻擋異常包��。接著�,圖5是示出了應(yīng)用于本發(fā)明的一個優(yōu)選實施例的網(wǎng)絡(luò)安全方法的流程 圖�����。以下����,將參照附圖對如此配置的支持動態(tài)攻擊的檢測和阻擋的基于硬件的網(wǎng)絡(luò) 安全裝置的操作進(jìn)行具體描述��。首先,網(wǎng)絡(luò)包通過I/F單元100被輸入(步驟S501為是)����。然后,對應(yīng)于第 一安全模塊的模式匹配引擎210首先針對該輸入的網(wǎng)絡(luò)包的靜態(tài)攻擊執(zhí)行基于硬 件的過濾(步驟S502)�。如果包正常(步驟S503為是),則模式匹配引擎210通過PL3接口將該相應(yīng) 的正常包發(fā)送到對應(yīng)于第二安全模塊的動態(tài)攻擊檢測模塊230�。反之,如果該包異 常(步驟S503為否)�,則模式匹配引擎將該相應(yīng)異常包的包信息發(fā)送到響應(yīng)引擎 220以阻擋該異常包(步驟S507)。同時���,動態(tài)攻擊檢測模塊230針對通過PL3接口從模式匹配引擎210發(fā)送的 正常包的動態(tài)攻擊執(zhí)行基于硬件的過濾(步驟S504)����。步驟S504將參照附圖作具 體描述�。參照圖3,動態(tài)攻擊檢測模塊230中的控制單元231將發(fā)送自模式匹配引擎 210的正常包根據(jù)協(xié)議分類�����、重新配置IP包�、并基于預(yù)先存儲在ACL SRAM233 中的安全策略檢測動態(tài)攻擊。即,控制單元231分析在分別對應(yīng)于想要檢測的動態(tài) 攻擊的類型(DoS型���、碎片DoS型��、IP掃描型�����、或掃描型)(參見圖4)的SRAM1 232-1到SRAM4 232-4當(dāng)中的相應(yīng)區(qū)域中的經(jīng)重新配置的網(wǎng)絡(luò)包���,并計數(shù)在一定時 間段內(nèi)檢測到動態(tài)攻擊的次數(shù)。然后��,控制單元通過將所計數(shù)的檢測到的次數(shù)與分 別對應(yīng)于各動態(tài)攻擊名稱(參見圖4)的一個或多個閾值相比較來確定是否存在相 應(yīng)網(wǎng)絡(luò)包的攻擊����。以該方式,如果與各動態(tài)攻擊名稱分別對應(yīng)的檢測到的次數(shù)沒有超過相應(yīng)的 閾值�����,則控制單元231確定該包為正常包(步驟S505中為是)����;如果與各動態(tài)攻 擊名稱分別對應(yīng)的檢測到的次數(shù)超過相應(yīng)的閾值���,則控制單元確定該包為受攻擊的 異常包(步驟S505為否)�。然后,控制單元231將所確定的過濾結(jié)果通過PCI300發(fā)送到主CPU400���。主 CPU 400將基于所發(fā)送的過濾結(jié)果的響應(yīng)策略再次通過PCI 300發(fā)送到響應(yīng)引擎 220和動態(tài)攻擊檢測模塊230����,由此控制相應(yīng)包通過(步驟S506)或被阻擋(步驟 S507)����。另外,主CPU 400將分別發(fā)送自模式匹配引擎210和檢測模塊230的控制單元231的過濾靜態(tài)和動態(tài)攻擊的結(jié)果存儲(S508)��。如上所述的根據(jù)本發(fā)明的保護(hù)網(wǎng)絡(luò)的裝置和方法使用硬件邏輯檢測和阻擋網(wǎng) 絡(luò)包上的動態(tài)攻擊�。因此,所具有的效果在于提高了檢測的準(zhǔn)確度并且網(wǎng)絡(luò)安全方 案的處理速度和性能上的弱點得到了補(bǔ)償從而滿足了實時要求�。如上所述,雖然結(jié)合在附圖中示出的實施例對本發(fā)明進(jìn)行了描述�,但本發(fā)明 的這些實施例僅作說明用途。本領(lǐng)域的技術(shù)人員應(yīng)該理解可對其作出各種修改和變 形而不會背離本發(fā)明的技術(shù)實質(zhì)和范圍��。相應(yīng)地�,本發(fā)明的技術(shù)范圍應(yīng)由所附權(quán)利 要求的技術(shù)實質(zhì)來限定。例如,本發(fā)明可被廣泛應(yīng)用和使用于高性能入侵阻擋系統(tǒng)��、網(wǎng)絡(luò)管理系統(tǒng) (NTMS)���、諸如交換機(jī)或路由器等網(wǎng)絡(luò)設(shè)備的安全模塊�����、家用網(wǎng)關(guān)的安全模塊����、 工業(yè)服務(wù)器的網(wǎng)絡(luò)終端上的DDoS專用檢測方案等��。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全裝置�,包括第一安全模塊,用于檢測網(wǎng)絡(luò)包上的靜態(tài)攻擊��;第二安全模塊����,用于檢測所述網(wǎng)絡(luò)包上未被所述第一安全模塊檢測到的動態(tài)攻擊;以及響應(yīng)引擎��,用于提供基于所述第一安全模塊和所述第二安全模塊的檢測結(jié)果的響應(yīng)策略���,其中所述第一安全模塊和所述第二安全模塊通過執(zhí)行基于硬件邏輯的過濾過程來檢測所述靜態(tài)攻擊和所述動態(tài)攻擊�。
2. 如權(quán)利要求l所述的裝置���,其特征在于��,所述第一安全模塊和所述第二安 全模塊一同被設(shè)于阻擋板上���。
3. 如權(quán)利要求2所述的裝置,其特征在于����,所述第一安全模塊和所述第二安 全模塊通過POS-PHY第三層(PL3)接口來互連以傳送包。
4. 如權(quán)利要求3所述的裝置���,其特征在于���,所述第二安全模塊通過PCI接口 連接至主CPU,所述主CPU管理所述第一安全模塊和所述第二安全模塊的安全策 略�。
5. 如權(quán)利要求3所述的裝置,其特征在于���,所述第二安全模塊包括根據(jù)動態(tài)攻擊的類型與所述動態(tài)攻擊的類型一一對應(yīng)的一個或多個存儲器���;閾值存儲單元�,用于存儲與所述動態(tài)攻擊的類型的動態(tài)攻擊名稱一一對應(yīng)的 至少一個閾值����;以及控制單元,用于通過訪問對應(yīng)于一動態(tài)攻擊的類型的相關(guān)存儲器并將在一定 時間段內(nèi)計數(shù)出的檢測到所述動態(tài)攻擊的次數(shù)與對應(yīng)于所述動態(tài)攻擊名稱的閾值 相比較來確定是否存在所述動態(tài)攻擊����。
6. 如權(quán)利要求5所述的裝置,其特征在于�����,所述第二安全模塊是基于FPGA 的高速包處理器���。
7. 如權(quán)利要求5所述的裝置�����,其特征在于����,所述動態(tài)攻擊的類型包括DoS�����、 碎片DoS、 IP掃描��、以及掃描中的至少一種��。
8. 如權(quán)利要求5所述的裝置�����,其特征在于��,所述動態(tài)攻擊名稱包括以下至少 一種SYN淹沒��、UDP淹沒��、DoS回音(TCP及UDP) ����、 ping淹沒���、sun殺死����、SolSyslogd、 DoSChargen����、脆弱攻擊、淹沒式拒絕服務(wù)攻擊����、陸地攻擊、Winnuke�����、 SynFin攻擊�����、TCP無標(biāo)志攻擊�、ARP攻擊、ICMP大型包攻擊�����、FTP跳轉(zhuǎn)��、IP掃 描��、地址掃掠攻擊、SYN掃描�、非SYN掃描、Xmas掃描��、微掃描���、UDP端口掃 描��、以及FIN掃描�����。
9. 一種網(wǎng)絡(luò)安全方法,包括靜態(tài)攻擊過濾步驟����,用于執(zhí)行基于硬件的針對網(wǎng)絡(luò)包靜態(tài)攻擊的過濾過程; 動態(tài)攻擊過濾步驟�����,用于執(zhí)行基于硬件的針對正常包動態(tài)攻擊的過濾過程����, 所述正常包在所述靜態(tài)攻擊過濾步驟中被確定為正常����;以及響應(yīng)步驟�,用于執(zhí)行基于所述靜態(tài)攻擊和所述動態(tài)攻擊的過濾結(jié)果的響應(yīng)策略。
10. 如權(quán)利要求9所述的方法��,其特征在于��,還包括存儲過濾所述靜態(tài)攻擊 和所述動態(tài)攻擊的結(jié)果的存儲步驟����。
11. 如權(quán)利要求10所述的方法,其特征在于���,在所述靜態(tài)攻擊過濾步驟中被 確定為正常的所述正常包通過POS-PHY第三層(PL3)接口來傳送��。
12. 如權(quán)利要求IO所述的方法�,其特征在于��,所述動態(tài)攻擊過濾步驟存儲與 動態(tài)攻擊名稱一一對應(yīng)的至少一個閾值��,并在于一定時間段內(nèi)計數(shù)出的檢測到所述 網(wǎng)絡(luò)包的動態(tài)攻擊的次數(shù)超過相應(yīng)閾值時將所述網(wǎng)絡(luò)包確定為異常����。
13. 如權(quán)利要求12所述的方法�,其特征在于����,所述動態(tài)過濾步驟是在基于 FPGA的高速包處理器中實現(xiàn)的。
14. 如權(quán)利要求12所述的方法���,其特征在于�����,所述動態(tài)過濾步驟在與想要 檢測的動態(tài)攻擊類型相對應(yīng)的相應(yīng)存儲器區(qū)域中分析所述正常包����。
15. 如權(quán)利要求14所述的方法����,其特征在于�����,所述動態(tài)攻擊的類型包括DoS�����、 DDoS、碎片DoS���、 IP掃描���、以及掃描中的至少一種。
16. 如權(quán)利要求12所述的方法�����,其特征在于����,所述動態(tài)攻擊名稱包括以下至 少一種SYN淹沒、UDP淹沒�����、DoS回音(TCP及UDP) ���、 ping淹沒�����、sun殺死��、 Sol Syslogd�����、 DoS Chargen�����、脆弱攻擊�、淹沒式拒絕服務(wù)攻擊、陸地攻擊���、Winnuke����、 Syn Fin攻擊�、TCP No標(biāo)志攻擊、ARP攻擊�、ICMP大型包攻擊�、FTP突襲、IP掃 描�、地址掃掠攻擊、SYN掃描、非SYN掃描����、Xmas掃描、微掃描�����、UDP端口掃 描�、以及FIN掃描。
全文摘要
本發(fā)明涉及一種保護(hù)網(wǎng)絡(luò)的裝置和方法�。在本發(fā)明中,對應(yīng)于第一安全模塊的模式匹配引擎210首先針對輸入的網(wǎng)絡(luò)包的靜態(tài)攻擊執(zhí)行基于硬件的過濾�,并將作為該過濾的結(jié)果被確定為正常的正常包通過PL3接口發(fā)送到對應(yīng)于第二安全模塊的動態(tài)攻擊檢測模塊230。動態(tài)攻擊檢測模塊230針對發(fā)送自模式匹配引擎210的正常包的動態(tài)攻擊執(zhí)行基于硬件的過濾過程���。如果過濾該動態(tài)攻擊結(jié)束���,則動態(tài)攻擊檢測模塊230將該過濾結(jié)果通過PCI 300發(fā)送到主CPU 400。然后�����,主CPU 400將基于所發(fā)送的過濾結(jié)果的響應(yīng)策略通過PCI 300發(fā)送到響應(yīng)引擎220和動態(tài)攻擊檢測模塊230以阻擋異常包����。因此�����,本發(fā)明在提高檢測的準(zhǔn)確度方面以及補(bǔ)償網(wǎng)絡(luò)安全方案的處理速度和性能的弱點以滿足實時要求方面非常有效�。
文檔編號H04L12/24GK101252467SQ200710162119
公開日2008年8月27日 申請日期2007年12月18日 優(yōu)先權(quán)日2006年12月18日
發(fā)明者孫昭覼, 柳淵植, 金元集 申請人:Lg Cns株式會社