JP7509318B2 - 抽出装置、抽出方法、および、抽出プログラム - Google Patents

抽出装置、抽出方法、および、抽出プログラム Download PDF

Info

Publication number
JP7509318B2
JP7509318B2 JP2023520655A JP2023520655A JP7509318B2 JP 7509318 B2 JP7509318 B2 JP 7509318B2 JP 2023520655 A JP2023520655 A JP 2023520655A JP 2023520655 A JP2023520655 A JP 2023520655A JP 7509318 B2 JP7509318 B2 JP 7509318B2
Authority
JP
Japan
Prior art keywords
log
longest
logs
common subsequence
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023520655A
Other languages
English (en)
Other versions
JPWO2022239147A1 (ja
Inventor
勇貴 越智
裕介 久田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority claimed from PCT/JP2021/018049 external-priority patent/WO2022239147A1/ja
Publication of JPWO2022239147A1 publication Critical patent/JPWO2022239147A1/ja
Application granted granted Critical
Publication of JP7509318B2 publication Critical patent/JP7509318B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、攻撃の痕跡を示すログを抽出するための、抽出装置、抽出方法、および、抽出プログラムに関する。
近年、コンピュータフォレンジック調査において、攻撃の特徴を示すシグネチャを用いて、PC(Personal Computer)のログから攻撃の痕跡を示すログを抽出することが行われている(非特許文献1参照)。
Sigma-Generic Signatures for SIEM Systems、[2021年4月22日検索]、インターネット<URL:https://www.slideshare.net/secret/gvgxeXoKblXRcA>
しかし、従来のシグネチャを用いて攻撃の痕跡を示すログを抽出する方法は、攻撃以外の通常の操作で出力されるようなログが抽出されることもある。そこで、本発明は、前記した問題を解決し、攻撃の痕跡を精度よく抽出することを課題とする。
前記した課題を解決するため、本発明は、調査対象のコンピュータのログを収集するログ収集部と、コンピュータへの攻撃を示す複数のシグネチャを攻撃に特徴的な順序に並べたルールを参照して、前記収集したログから、前記ルールに示されるいずれかのシグネチャにマッチするログ群を抽出する第1の抽出部と、前記抽出されたログ群の各ログがマッチするシグネチャの時系列での並びと、前記ルールに示される複数のシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する第2の抽出部と、前記最長共通部分列が最長となるログ群それぞれについて、前記ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する算出部と、前記算出した分散値が最小となるログ群における前記最長共通部分列を攻撃の候補として出力する出力処理部とを備えることを特徴とする。
本発明によれば、攻撃の痕跡を精度よく抽出することができる。
図1は、抽出装置の概要を説明するための図である。 図2は、抽出装置の概要を説明するための図である。 図3は、抽出装置の構成例を示す図である。 図4は、図3のルールに用いられるシグネチャの例を示す図である。 図5は、図3のルールの例を示す図である。 図6は、抽出装置の処理手順の例を示すフローチャートである。 図7は、抽出プログラムを実行するコンピュータの例を示す図である。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は以下に説明する実施形態に限定されない。
[概要]
まず、図1および図2を用いて、本実施形態の抽出装置の概要を説明する。まず、抽出装置は、事前にコンピュータへの攻撃を示す複数のシグネチャを、攻撃に特徴的な順序に並べたルール(図1の符号101参照)を用意しておく。
次に、抽出装置は、調査対象のコンピュータのログ群を時系列に並べ、ルールに示される各シグネチャにマッチするログ群(符号102参照)を抽出する。次に、抽出装置は、抽出したログ群のログがマッチするシグネチャの並びと、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する(符号103~符号105参照)。
ここで、図1の符号103~符号105に示すように、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群が複数である場合、抽出装置は、ログ群それぞれについて、当該ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する。
例えば、抽出装置は、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群が、図2の符号103に示すログ群である場合、当該ログ群において時系列で隣接する各ログ間の時刻差は「2:00、1:00、3:00」である(符号201参照)。よって、抽出装置は、「2:00、1:00、3:00」の分散値を算出する。例えば、抽出装置は、「2:00、1:00、3:00」を秒に変換し、秒に変換した値(「120、60、180」)の分散値を算出する。
抽出装置は、上記の分散値の算出を、ルールに示されるシグネチャの並びとの最長共通部分列が最長となる他のログ群についても実行し、分散値が最小のログ群における最長共通部分列を攻撃の候補として出力する。例えば、図1の符号103~105に示すログ群のうち、符号103に示すログ群の分散値が最小である場合、抽出装置は、当該ログ群における最長共通部分列(シグネチャAにマッチ→シグネチャBにマッチ→シグネチャCにマッチ→シグネチャDにマッチ)を攻撃の痕跡の候補として出力する。
このような抽出装置によれば、調査対象のコンピュータのログから、ルールに示される一連のシグネチャとの最長共通部分列が最長となる一連の攻撃を、攻撃の候補として抽出することができる。これにより、抽出装置は、調査対象のコンピュータのログから、攻撃の痕跡の候補を精度よく抽出することができる。
[構成例]
次に、図3を用いて抽出装置10の構成例を説明する。抽出装置10は、入出力部11と、記憶部12と、制御部13とを備える。
入出力部11は、各種データの入出力を司るインタフェースである。例えば、入出力部11は、調査対象となるコンピュータのログの入力を受け付けたり、攻撃の痕跡の候補を出力したりする。
記憶部12は、ルールを記憶する。このルールは、コンピュータへの攻撃を示す複数のシグネチャを、攻撃に特徴的な順序に並べたものである(図1の符号101参照)。
シグネチャは、コンピュータが攻撃を受けた際に、当該コンピュータにより記録されるログの特徴を示したものである。例えば、シグネチャは、コンピュータにおけるマルウェアの動作を示したものである(図4参照)。
ルールは、例えば、図5に示すように、各シグネチャに対し、攻撃に特徴的な順序を示す値を付与することにより記述される。ここで各シグネチャに付与される順序を示す値は、同じ値のものがあってもよい。また、シグネチャの中に順序を示す値が付与されていないシグネチャがあってもよい。
図3の説明に戻る。また、記憶部12はDBを備える。このDBには、DB登録部133により登録されたログ(調査対象のコンピュータのログを時系列で並べたもの)が記憶される。
制御部13は、抽出装置10全体の制御を司る。この制御部13は、ログ収集部131と、時系列化部132と、DB登録部133と、ルール変換部134と、DB検索部(第1の抽出部)135と、抽出部(第2の抽出部)136と、判定部137と、算出部138と、絞り込み部(出力処理部)139とを備える。
ログ収集部131は、調査対象のコンピュータからログを収集する。例えば、ログ収集部131は、調査対象のコンピュータからイベントログ、レジストリ、ファイル操作履歴等を収集する。例えば、ログ収集部131は、CDIR-C(Cyber Defense Institute Incident Response Collector)等により、上記のログを収集する。
時系列化部132は、ログ収集部131により収集されたログを時系列に並べ替える。DB登録部133は、時系列化部132により時系列に並べ替えられたログをDBに登録する。
ルール変換部134は、ルールに記載されたシグネチャを、当該シグネチャにマッチするログを検索するための検索クエリに変換する。DB検索部135は、ルール変換部134により変換された検索クエリを用いて、DB内のログを検索する。つまり、DB検索部135は、ルールに示されるシグネチャにマッチするログ群をDBから抽出する。例えば、DB検索部135は、図1の符号101に示す各シグネチャにマッチするログ群を、DBから抽出する(図1の符号102参照)。
図3の説明に戻る。抽出部136は、DB検索部135により検索されたログ群から、当該ログ群における各ログがマッチするシグネチャの時系列での並びに基づき、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する。例えば、抽出部136は、図1の符号102に示すログ群から、図1の符号101に示すシグネチャの並びとの最長部分文字列が最長となるログ群を抽出する(図1の符号103~符号105参照)。
図3の説明に戻る。判定部137は、抽出部136により抽出された、最長共通部分列が最長となるログ群が複数あるか否かを判定する。判定部137により、最長共通部分列が最長となるログ群が複数あると判定された場合、算出部138は、最長共通部分列が最長となるログ群それぞれについて、当該ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する。
例えば、算出部138は、図1の符号103に示す、最長共通部分列が最長となるログ群について、当該ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する(図2の符号201参照)。また、算出部138は、図1の符号104,105に示すログ群についても同様に、当該ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する。
図3の説明に戻る。絞り込み部139は、攻撃の痕跡の候補の絞り込みを行う。例えば、絞り込み部139は、抽出部136により抽出された、最長共通部分列が最長となるログ群のうち、算出部138により算出された分散値が最も小さいログ群における最長共通部分列を、攻撃の痕跡の候補(攻撃の候補)として出力する。
なお、抽出部136により抽出された最長共通部分列が最長となるログ群が1つのみである場合、絞り込み部139は、抽出部136により抽出されたログ群における最長共通部分列を攻撃の候補として出力する。以上説明した抽出装置10によれば、攻撃の候補を精度よく抽出することができる。
[処理手順の例]
次に、図6を用いて、抽出装置10の処理手順の例を説明する。まず、ログ収集部131は、入出力部11経由で、調査対象のコンピュータから処理対象のログを収集する(S101)。次に、時系列化部132は、S101で収集されたログを時系列に並べる(S102)。そして、DB登録部133は、S102で並べ替えられたログをDBに登録する(S103)。
また、ルール変換部134は、記憶部12のルールを読み出し、当該ルールをDBのクエリに変換する(S104)。そして、DB検索部135は、S104で変換されたクエリでDBからログ群を抽出する(S105)。つまり、DB検索部135は、ルールに示されるシグネチャにマッチするログ群をDBから抽出する。
S105の後、抽出部136は、S105で抽出されたログ群から、当該ログ群を構成するログに対応するシグネチャの並びと、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する(S106)。
S106の後、判定部137は、S106で抽出された最長共通部分列が最長となるログ群が複数あるか否かを判定し(S107)、複数ない場合(S107でNo)、S106で抽出されたログ群における最長共通部分列を攻撃の候補として出力する(S108)。
一方、S107で、判定部137が、S106で抽出された最長共通部分列が最長となるログ群が複数あると判定した場合(S107でYes)、算出部138は、S106で抽出されたログ群ごとに、当該ログ群の各ログ間の時刻差の分散値を算出する(S109)。そして、絞り込み部139は、S106で抽出されたログ群のうち、S109で算出した分散値が最小のログ群における最長共通部分列を、攻撃の候補として出力する(S110)。このようにすることで抽出装置10は、攻撃の候補を精度よく抽出することができる。
[その他の実施形態]
なお、絞り込み部139は、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群における最長共通部分列を攻撃の候補として出力することとしたが、これに限定されない。例えば、絞り込み部139は、攻撃の候補として、上記の最長共通部分列のみならず、最長共通部分列が最長となるログ群(各ログの時刻情報を含む)も出力してもよい。このようにすることで、抽出装置10のユーザは、攻撃の候補の内容を、より詳細に分析することができる。
また、前記した実施形態において、抽出装置10は、コンピュータから取得したログを時系列に並べてから、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群を抽出することとしたがこれに限定されない。
例えば、抽出装置10は、コンピュータから取得したログのうち、ルールに示されるいずれかのシグネチャにマッチするログ群を抽出した後、時系列に並べ替える。そして、抽出装置10は、時系列に並べ替えたログがマッチするシグネチャの並びと、ルールに示されるシグネチャの並びとの最長共通部分列が最長となるログ群を抽出してもよい。
[システム構成等]
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
前記した抽出装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を抽出装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
また、抽出装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図7は、抽出プログラムを実行するコンピュータの例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の抽出装置10が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、抽出装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 抽出装置
11 入出力部
12 記憶部
13 制御部
131 ログ収集部
132 時系列化部
133 DB登録部
134 ルール変換部
135 DB検索部
136 抽出部
137 判定部
138 算出部
139 絞り込み部

Claims (7)

  1. 調査対象のコンピュータのログを収集するログ収集部と、
    コンピュータへの攻撃を示す複数のシグネチャを攻撃に特徴的な順序に並べたルールを参照して、前記収集したログから、前記ルールに示されるいずれかのシグネチャにマッチするログ群を抽出する第1の抽出部と、
    前記抽出されたログ群の各ログがマッチするシグネチャの時系列での並びと、前記ルールに示される複数のシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する第2の抽出部と、
    前記最長共通部分列が最長となるログ群それぞれについて、前記ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する算出部と、
    前記算出した分散値が最小となるログ群における前記最長共通部分列を攻撃の痕跡の候補として出力する出力処理部と
    を備えることを特徴とする抽出装置。
  2. 前記最長共通部分列の長さは、
    前記ルールに示されるいずれかのシグネチャにマッチするログ群を時系列に並び替えたときのシグネチャの並びと、前記ルールに示される複数のシグネチャの並びとの最長共通部分列の長さ
    であることを特徴とする請求項1に記載の抽出装置。
  3. 前記最長共通部分列が最長となるログ群が複数あるか否かを判定する判定部をさらに備え、
    前記判定部により、前記最長共通部分列が最長となるログ群が複数あると判定された場合、前記算出部は、前記最長共通部分列が最長となるログ群それぞれについて、前記ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する
    ことを特徴とする請求項1に記載の抽出装置。
  4. 前記判定部により、前記最長共通部分列が最長となるログ群が複数ないと判定された場合、
    前記出力処理部は、前記最長共通部分列が最長となるログ群における前記最長共通部分列を攻撃の痕跡の候補として出力する
    ことを特徴とする請求項3に記載の抽出装置。
  5. 前記出力処理部は、さらに、
    前記算出した分散値が最小となるログ群を出力する
    ことを特徴とする請求項1に記載の抽出装置。
  6. 抽出装置により実行される抽出方法であって、
    調査対象のコンピュータのログを収集する工程と、
    コンピュータへの攻撃を示す複数のシグネチャを攻撃に特徴的な順序に並べたルールを参照して、前記収集したログから、前記ルールに示されるいずれかのシグネチャにマッチするログ群を抽出する工程と、
    前記抽出されたログ群の各ログがマッチするシグネチャの時系列での並びと、前記ルールに示される複数のシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する工程と、
    前記最長共通部分列が最長となるログ群それぞれについて、前記ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する工程と、
    前記算出した分散値が最小となるログ群における前記最長共通部分列を攻撃の痕跡の候補として出力する工程と
    を含むことを特徴とする抽出方法。
  7. 調査対象のコンピュータのログを収集する工程と、
    コンピュータへの攻撃を示す複数のシグネチャを攻撃に特徴的な順序に並べたルールを参照して、前記収集したログから、前記ルールに示されるいずれかのシグネチャにマッチするログ群を抽出する工程と、
    前記抽出されたログ群の各ログがマッチするシグネチャの時系列での並びと、前記ルールに示される複数のシグネチャの並びとの最長共通部分列が最長となるログ群を抽出する工程と、
    前記最長共通部分列が最長となるログ群それぞれについて、前記ログ群において時系列で隣接する各ログ間の時刻差の分散値を算出する工程と、
    前記算出した分散値が最小となるログ群における前記最長共通部分列を攻撃の痕跡の候補として出力する工程と
    をコンピュータに実行させるための抽出プログラム。
JP2023520655A 2021-05-12 抽出装置、抽出方法、および、抽出プログラム Active JP7509318B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/018049 WO2022239147A1 (ja) 2021-05-12 2021-05-12 抽出装置、抽出方法、および、抽出プログラム

Publications (2)

Publication Number Publication Date
JPWO2022239147A1 JPWO2022239147A1 (ja) 2022-11-17
JP7509318B2 true JP7509318B2 (ja) 2024-07-02

Family

ID=

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016147944A1 (ja) 2015-03-18 2016-09-22 日本電信電話株式会社 マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム
WO2018159362A1 (ja) 2017-03-03 2018-09-07 日本電信電話株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016147944A1 (ja) 2015-03-18 2016-09-22 日本電信電話株式会社 マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム
WO2018159362A1 (ja) 2017-03-03 2018-09-07 日本電信電話株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム

Similar Documents

Publication Publication Date Title
EP2998884B1 (en) Security information management system and security information management method
Ye et al. Hierarchical associative classifier (HAC) for malware detection from the large and imbalanced gray list
US9910985B2 (en) Apparatus and method for identifying similarity via dynamic decimation of token sequence N-grams
US9003529B2 (en) Apparatus and method for identifying related code variants in binaries
US7844139B2 (en) Information management apparatus, information management method, and computer program product
US9454658B2 (en) Malware detection using feature analysis
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
CN111639337B (zh) 一种面向海量Windows软件的未知恶意代码检测方法及系统
RU2722692C1 (ru) Способ и система выявления вредоносных файлов в неизолированной среде
CN107615240B (zh) 用于分析二进制文件的基于生物序列的方案
US20110082873A1 (en) Mutual Search and Alert Between Structured and Unstructured Data Stores
RU2728497C1 (ru) Способ и система определения принадлежности программного обеспечения по его машинному коду
CN112364637A (zh) 一种敏感词检测方法、装置,电子设备及存储介质
CN115331750A (zh) 基于深度学习的新靶点化合物活性预测方法及系统
JP5731361B2 (ja) 文字列変換方法及び文字列変換プログラム
JP2019204246A (ja) 学習データ作成方法及び学習データ作成装置
KR102289395B1 (ko) 자카드 모델 기반의 문서 검색 장치 및 방법
JP7509318B2 (ja) 抽出装置、抽出方法、および、抽出プログラム
RU2747464C2 (ru) Способ обнаружения вредоносных файлов на основании фрагментов файлов
CN112749258A (zh) 数据搜索的方法和装置、电子设备和存储介质
WO2022239147A1 (ja) 抽出装置、抽出方法、および、抽出プログラム
CN113688240B (zh) 威胁要素提取方法、装置、设备及存储介质
US20240220611A1 (en) Extracting device, extracting method, and extracting program
KR102289408B1 (ko) 해시 코드 기반의 검색 장치 및 검색 방법
WO2022219792A1 (ja) 収集装置、収集方法、および、収集プログラム