信息安全技術之安全檢測技術培訓(ppt-53頁)課件

1、信息安全技術第 5 講 安全檢測技術5.1 入侵檢測技術與網絡入侵檢測系統產品5.2 漏洞檢測技術和微軟系統漏洞檢測工具MBSA 第 5 講 安全檢測技術5.1 入侵檢測技術與網絡入侵檢測系統產品傳統的操作系統加固技術和防火墻技術等都是靜態(tài)安全防御技術，對網絡環(huán)境下日新月異的攻擊手段缺乏主動的反應；而入侵檢測技術則是動態(tài)安全技術的核心技術之一，可以作為防火墻的合理補充，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力 (包括安全審計、安全檢測、入侵識別、入侵取證和響應等) ，提高了信息安全基礎結構的完整性。第 5 講 安全檢測技術入侵檢測系統 (Intrusion Detection Sys

2、tem，IDS) 是一類專門面向網絡入侵的安全監(jiān)測系統，它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全防線，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。第 5 講 安全檢測技術入侵檢測系統主要執(zhí)行以下任務：1) 監(jiān)視、分析用戶及系統活動。2) 系統構造和弱點的審計。3) 識別反映已知進攻的活動模式并報警。4) 異常行為模式的統計分析。5) 評估重要系統和數據文件的完整性。6) 對操作系統的審計追蹤管理，并識別用戶違反安全策略的行為。第 5 講 安全

3、檢測技術一個成功的入侵檢測系統，不但可使系統管理員時刻了解網絡系統 (包括程序、文件和硬件設備等) 的任何變更，還能給網絡安全策略的制訂提供指南。同時，它應該是管理和配置簡單，使非專業(yè)人員能容易地獲得網絡安全。當然，入侵檢測的規(guī)模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發(fā)現入侵后，應及時做出響應，包括切斷網絡連接、記錄事件和報警等。第 5 講 安全檢測技術目前，入侵檢測系統主要以模式匹配技術為主，并結合異常匹配技術。從實現方式上一般分為兩種：基于主機和基于網絡，而一個完備的入侵檢測系統則一定是基于主機和基于網絡這兩種方式兼?zhèn)涞姆植际较到y。另外，能夠識別的入侵手段數量的多

4、少、最新入侵手段的更新是否及時也是評價入侵檢測系統的關鍵指標。第 5 講 安全檢測技術利用最新的可適應網絡安全技術和P2DR (Policy，Protection，Detection，Response，即策略、保護、探測、反應) 安全模型，已經可以深入研究入侵事件、入侵手段本身及被入侵目標的漏洞等。隨著P2DR安全模型被廣泛認同，入侵檢測系統在信息系統安全中占據越來越重要的地位。第 5 講 安全檢測技術1. IDS分類根據檢測方法不同分類根據數據源不同分類第 5 講 安全檢測技術(1) 根據檢測方法不同分類按具體的檢測方法，可將入侵檢測系統分為基于行為和基于知識兩類。第 5 講 安全檢測技術1

5、) 基于行為的檢測，也稱為異常檢測。是指根據使用者的行為或資源使用狀況的正常程度來判斷是否發(fā)生入侵，而不依賴具體行為是否出現，即建立被檢測系統正常行為的參考庫，并通過與當前行為進行比較來尋找偏離參考庫的異常行為。對于異常閾值與特征的選擇是異常發(fā)現技術的關鍵。例如，通過流量統計分析將異常時間的異常網絡流量視為可疑。第 5 講 安全檢測技術異常發(fā)現技術的局限是，并非所有的入侵都表現為異常，而且系統的軌跡也難以計算和更新。例如，一般在白天使用計算機的某用戶，如果他突然在午夜注冊登記，則有可能被認為是入侵者在使用。第 5 講 安全檢測技術2) 基于知識的檢測，也被稱為誤用檢測。是指運用已知攻擊方法，根

6、據已定義好的入侵模式，通過與這些入侵模式是否匹配來判斷入侵。入侵模式是入侵過程的特征、條件、排列以及事件間的關系，即具體入侵行為的跡象。這些跡象不僅對分析已經發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有警戒作用，因為只要部分滿足這些入侵跡象就意味著可能有入侵發(fā)生。第 5 講 安全檢測技術入侵模式匹配的關鍵是如何表達入侵的模式，把入侵與正常行為區(qū)分開來。入侵模式匹配的優(yōu)點是誤報少，局限是它只能發(fā)現已知的攻擊，對未知的攻擊無能為力。第 5 講 安全檢測技術(2) 根據數據源不同分類根據檢測系統所依據分析的原始數據不同，可將入侵檢測分為來自系統日志和網絡數據包兩種。入侵檢測的早期研究主要集中在對主

7、機系統日志文件的分析上，因為當時的用戶對象局限于本地用戶。操作系統的日志文件中包含了詳細的用戶信息和系統調用數據，從中可以分析系統是否被侵入以及侵入者留下的痕跡等審計信息。第 5 講 安全檢測技術隨著因特網的普及，用戶可隨機地從不同客戶機上登錄，主機間也經常需要交換信息，網絡數據包中同樣也含有用戶信息。這樣，就使入侵檢測的對象范圍擴大至整個網絡。此外，還可根據系統運行特性分為實時檢測和周期性檢測，以及根據檢測到入侵行為后是否采取相應措施而分為主動型和被動型等。圖5.1 兩類檢測的關系第 5 講 安全檢測技術2. IDS的基本原理由于對安全事件的檢測通常包括了大量復雜的步驟，涉及到很多方面，任何

8、單一技術都很難提供完備的檢測能力，需要綜合多個檢測系統以達到盡量完備的檢測能力。在根據安全事件報警的標準格式所定義的安全模型中，對一些入侵檢測術語進行了規(guī)范，包括：第 5 講 安全檢測技術1) 數據源 (Data source) ：入侵檢測系統用來檢測非授權或不希望的活動的原始信息。通常的數據源包括 (但不限于) 原始的網絡包、操作系統審計日志、應用程序日志以及系統生成的校驗和數據等。2) 活動 (Activity) ：由傳感器或分析器識別出的數據源的實例。例如，網絡會話、用戶活動和應用事件等?；顒蛹劝O其嚴重的事件 (例如明顯的惡意攻擊) ，也包括不太嚴重的事件 (如值得進一步深究的異常用

9、戶活動) 。第 5 講 安全檢測技術3) 傳感器 (Sensor) ：從數據源搜集數據的入侵檢測構件或模塊。數據搜集的頻率由具體提供的入侵檢測系統決定。4) 事件 (Event) ：在數據源中發(fā)生且被分析器檢測到的，可能導致警報傳輸的行為。例如，10s內的3次失敗登錄，可能表示強行登錄嘗試攻擊。第 5 講 安全檢測技術5) 分析器 (Analyzer) ：入侵檢測的構件或進程，它分析傳感器搜集的數據，這些數據反映了一些非授權的或不希望的活動，以及安全管理員感興趣的安全事件的跡象。在很多現有的入侵檢測系統中，將傳感器和分析器作為同一構件的不同部分。6) 安全策略 (Security policy

10、) ：預定義的正式文檔聲明，定義哪些服務可以通過被監(jiān)控的網段，還包括 (但不限于) 哪些主機不允許外部網絡訪問，從而支持組織的安全需求。第 5 講 安全檢測技術7) 報警 (Alert) ：由分析器發(fā)給管理器的消息，表明一個事件被檢測到。報警通常包含被檢測到的異?；顒拥挠嘘P信息和事件細節(jié)。當一個入侵正在發(fā)生或者試圖發(fā)生時，IDS系統將發(fā)布一個Alert信息通知系統管理員。如果控制臺與IDS系統同在一臺機器，Alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示。如果是遠程控制臺，那么Alert將通過IDS系統內置方法 (通常是加密的) 、SNMP (簡單網絡管理協議，通常不加密) 、E-mail

11、、SMS (短信息) 或者以上幾種方法的混合方式傳遞給管理員。第 5 講 安全檢測技術8) 管理器 (Manager) ：入侵檢測的構件或進程，操作員通過它可以管理入侵檢測系統的各種構件。典型管理功能通常包括：傳感器配置、分析器配置、事件通告管理、數據合并及報告等。9) 通告 (Notification) ：入侵檢測系統管理器用來使操作員知曉事件發(fā)生的方法。在很多入侵檢測系統中，盡管有許多其他的通告技術可以采用，但通常是通過在入侵檢測系統管理器屏幕上顯示一個彩色圖標、發(fā)送電子郵件或尋呼機消息，或者發(fā)送SNMP的陷門來實現。第 5 講 安全檢測技術10) 管理員 (Administrator)

12、：負責維護和管理一個組織機構的網絡信息系統安全的人員。管理員與負責安裝配置入侵檢測系統及監(jiān)視入侵檢測系統輸出的人員，可能是一人也可能是多人；他可能屬于網絡/系統管理組，也可能是一個單獨的職位。11) 操作員 (Operator) ：入侵檢測系統管理器的主要使用者。操作員監(jiān)視入侵檢測系統的輸出，并負責發(fā)起或建議進一步的行動。第 5 講 安全檢測技術12) 響應 (Response) ：對一個事件所采取的響應動作。響應可以由入侵檢測系統體系結構中的一些實體自動執(zhí)行，也可由人工發(fā)起。基本的響應包括：向操作員發(fā)送通告、將活動記入日志、記錄描述事件特征的原始數據、中斷網絡連接或用戶應用程序會話過程，或者

13、改變網絡或系統的訪問控制等。13) 特征表示 (Signature) ：分析器用于標識安全管理員感興趣的活動的規(guī)則。表示符代表了入侵檢測系統的檢測機制。第 5 講 安全檢測技術14) 入侵檢測系統 (IDS) ：由一個或多個傳感器、分析器、管理器組成，可自動分析系統活動，是檢測安全事件的工具或系統。第 5 講 安全檢測技術一個簡單的入侵檢測系統的示意圖如圖5.2所示。圖5.2 簡單的入侵檢測系統示意圖第 5 講 安全檢測技術系統可以分成數據采集、入侵分析引擎、管理配置、響應處理和相關的輔助模塊等。1) 數據采集模塊：為入侵分析引擎模塊提供分析用的數據。一股有操作系統的審計日志、應用程序日志、系

14、統生成的校驗和數據，以及網絡數據包等。2) 入侵分析引擎模塊：依據輔助模塊提供的信息 (如攻擊模式) ，按照一定的算法對收集到的數據進行分析，從中判斷是否有入侵行為出現并產生入侵報警。該模塊是入侵檢測系統的核心模塊。第 5 講 安全檢測技術3) 管理配置模塊：它的功能是為其他模塊提供配置服務，是入侵檢測系統中模塊與用戶的接口。4) 響應處理模塊：當發(fā)生入侵后，預先為系統提供緊急的措施，如關閉網絡服務、中斷網絡連接及啟動備份系統等。5) 輔助模塊：協助入侵分析引擎模塊工作，為它提供相應的信息，如攻擊模式庫、系統配置庫和安全控制策略等。第 5 講 安全檢測技術3. 入侵檢測系統的結構由于IDS的物

15、理實現方式不同，即系統組成的結構不同，按檢測的監(jiān)控位置劃分，入侵檢測系統可分為基于主機、基于網絡和分布式三類。第 5 講 安全檢測技術(1) 基于主機的入侵檢測系統這是早期的入侵檢測系統結構，系統 (如圖5.2所示) 的檢測目標主要是主機系統和系統本地用戶。檢測原理是在每一個需要保護的主機上運行一個代理程序，根據主機的審計數據和系統的日志發(fā)現可疑事件。檢測系統可以運行在被檢測的主機或單獨的主機上，從而實現監(jiān)控。第 5 講 安全檢測技術這種類型的系統依賴于審計數據或系統日志的準確性和完整性，以及安全事件的定義。若入侵者設法逃避審計或進行合作入侵，就會出現問題。特別是在網絡環(huán)境下，單獨依靠主機審計

16、信息進行入侵檢測，將難以適應網絡安全的需求。第 5 講 安全檢測技術基于主機的入侵檢測系統可以精確地判斷入侵事件，并可對入侵事件立即進行反應；還可針對不同操作系統的特點來判斷應用層的入侵事件。但一般與操作系統和應用層入侵事件的結合過于緊密，通用性較差，并且IDS的分析過程會占用寶貴的主機資源。另外，對基于網絡的攻擊不敏感，特別是假冒IP的入侵。第 5 講 安全檢測技術由于服務器需要與因特網交互作用，因此在各服務器上應當安裝基于主機的入侵檢測軟件，并將檢測結果及時向管理員報告。基于主機的入侵檢測系統沒有帶寬的限制，它們密切監(jiān)視系統日志，能識別運行代理程序的機器上受到的攻擊。基于主機的入侵檢測系統

17、提供了基于網絡系統不能提供的精細功能，包括二進制完整性檢查、系統日志分析和非法進程關閉等功能，并能根據受保護站點的實際情況進行針對性的定制，使其工作效果明顯，誤警率相當低。第 5 講 安全檢測技術(2) 基于網絡的入侵檢測系統隨著計算機網絡技術的發(fā)展，單獨依靠主機審計信息進行入侵檢測將難以適應網絡安全的需求。因此，人們提出了基于網絡的入侵檢測系統體系結構。這種檢測系統使用原始的網絡分組數據包作為進行攻擊分析的數據源，通常利用一個網絡適配器來實時監(jiān)視和分析所有通過網絡進行傳輸的通信。一旦檢測到攻擊，IDS的相應模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應?；诰W絡的入侵檢測系統如圖5.3

18、所示。圖5.3 基于網絡的入侵檢測系統示意圖第 5 講 安全檢測技術系統中數據采集模塊由過濾器、網絡接口引擎和過濾規(guī)則決策器組成。它的功能是按一定的規(guī)則從網絡上獲取與安全事件相關的數據包，然后傳遞給入侵分析引擎模塊進行安全分析；入侵分析引擎模塊將根據從采集模塊傳來的數據包并結合網絡安全數據庫進行分析，把分析結果傳送給管理/配置模塊：而管理/配置模塊的主要功能是管理其他功能模塊的配置工作，并將入侵分析引擎模塊的輸出結果以有效的方式通知網絡管理員。第 5 講 安全檢測技術基于網絡的入侵檢測系統有以下優(yōu)點：1) 檢測的范圍是整個網段，而不僅是被保護的主機。2) 實時檢測和應答。一旦發(fā)生惡意訪問或攻擊

19、，基于網絡的IDS檢測就可以隨時發(fā)現它們，因此能夠更快地做出反應，從而將入侵活動對系統的破壞降到最低。3) 隱蔽性好。由于不需要在每個主機上安裝，所以不易被發(fā)現。基于網絡的入侵檢測系統的端系統甚至可以沒有網絡地址，從而使攻擊者沒有攻擊的目標。第 5 講 安全檢測技術4) 不需要任何特殊的審計和登錄機制，只要配置網絡接口就可以了，不會影響其他數據源。5) 操作系統獨立。基于網絡的IDS并不依賴主機的操作系統作為其檢測資源，而基于主機的IDS需要特定的操作系統才能發(fā)揮作用。第 5 講 安全檢測技術基于網絡的入侵檢測系統的主要不足在于：只能檢測經過本網段的活動，并且精確度較差，在交換式網絡環(huán)境下難以

20、配置，防入侵欺騙的能力也比較差；而且無法知道主機內部的安全情況，而主機內部普通用戶的威脅也是網絡信息系統安全的重要組成部分；另外，如果數據流進行了加密，就不能審查其內容，對主機上執(zhí)行的命令也就難以檢測。第 5 講 安全檢測技術因此，基于網絡和基于主機的安全檢測在方法上是需要互補的。第 5 講 安全檢測技術(3) 分布式入侵檢測系統隨著網絡系統結構的復雜化和大型化，帶來了許多新的入侵檢測問題，于是，產生了分布式入侵檢測系統。分布式IDS的目標是既能檢測網絡入侵行為，又能檢測主機的入侵行為。系統通常由數據采集模塊、通信傳輸模塊、入侵檢測分析模塊、響應處理模塊、管理中心模塊及安全知識庫組成。第 5

21、講 安全檢測技術這些模塊可根據不同情況進行組合，例如，由數據采集模塊和通信傳輸模塊組合產生出的新模塊能完成數據采集和傳輸這兩種任務。所有這些模塊組合起來就變成了一個入侵檢測系統。需要特別指出的是，模塊按網絡配置情況和檢測的需要，可以安裝在單獨的一臺主機上，也可分散在網絡中的不同位置，甚至一些模塊本身就能夠單獨檢測本地的入侵，同時將入侵檢測的局部結果信息提供給入侵檢測管理中心。第 5 講 安全檢測技術分布式IDS結構對大型網絡的安全是有幫助的，它能夠將基于主機和基于網絡的系統結構結合起來，檢測所用到的數據源豐富，可克服前兩者的弱點。但是，分布式的結構增加了網絡管理復雜度，如傳輸安全事件過程中增加

22、了對通信安全問題的處理等。第 5 講 安全檢測技術4. 入侵檢測的基本方法入侵檢測的基本方法主要有基于用戶行為概率統計模型、基于神經網絡、基于專家系統和基于模型推理等。第 5 講 安全檢測技術(1) 基于用戶行為概率統計模型的入侵檢測方法這種方法是基于對用戶歷史行為以及在早期的證據或模型的基礎上進行的，系統實時檢測用戶對系統的使用情況，根據系統內部保存的用戶行為概率統計模型進行檢測。當有可疑行為發(fā)生時，保持追蹤并監(jiān)測、記錄該用戶的行為。第 5 講 安全檢測技術通常系統要根據每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當某用戶改變其行為習慣時，這種異常就會被檢測出來。例如，統計系統會記

23、錄CPU的使用時間，I/O的使用通道和頻率，常用目錄的建立與刪除，文件的讀寫、修改、刪除，以及用戶習慣使用的編輯器和編譯器，最常用的系統調用，用戶ID的存取，文件和目錄的使用等。第 5 講 安全檢測技術這種方法的弱點主要是：1) 對于非常復雜的用戶行為很難建立一個準確匹配的統計模型。2) 統計模型沒有普遍性，因此，一個用戶的檢測措施并不適用于其他用戶，這將使得算法龐大而且復雜。3) 由于采用統計方法，系統將不得不保留大量的用戶行為信息，導致系統的臃腫和難以剪裁。第 5 講 安全檢測技術(2) 基于神經網絡的入侵檢測方法這種方法是利用神經網絡技術來進行入侵檢測的，因此，對于用戶行為具有學習和自適

24、應性，能夠根據實際檢測到的信息有效地加以處理并做出判斷，但尚不十分成熟，目前還沒有出現較為完善的產品。第 5 講 安全檢測技術(3) 基于專家系統的入侵檢測方法根據安全專家對可疑行為的分析經驗形成的一套推理規(guī)則，在此基礎上建立相應的專家系統，專家系統能自動對所涉及的入侵行為進行分析。該系統應當能夠隨著經驗的積累，利用其自學習能力進行規(guī)則的擴充和修正。第 5 講 安全檢測技術(4) 基于模型推理的入侵檢測方法根據入侵者在進行入侵時所執(zhí)行程序的某些行為特征，建立一種入侵行為模型；根據這種行為模型來判斷用戶的操作是否屬于入侵行為。當然這種方法也是建立在對已知入侵行為的基礎上的，對未知入侵行為模型的識

25、別需要進一步學習和擴展。第 5 講 安全檢測技術上述每一種方法都不能保證準確地檢測出變化無窮的入侵行為，因此，在網絡安全防護中要充分衡量各種方法的利弊，綜合運用這些方法才能有效地檢測出入侵者的非法行為。（第14講）考場作文開拓文路能力分解層次(網友來稿)江蘇省鎮(zhèn)江中學 陳乃香說明：本系列稿共24講，20XX年1月6日開始在資源上連載【要義解說】文章主旨確立以后，就應該恰當地分解層次，使幾個層次構成一個有機的整體，形成一篇完整的文章。如何分解層次主要取決于表現主旨的需要。【策略解讀】一般說來，記人敘事的文章常按時間順序分解層次，寫景狀物的文章常按時間順序、空間順序分解層次；說明文根據說明對象的特

26、點，可按時間順序、空間順序或邏輯順序分解層次；議論文主要根據“提出問題分析問題解決問題”順序來分解層次。當然，分解層次不是一層不變的固定模式，而應該富于變化。文章的層次，也常常有些外在的形式：1小標題式。即圍繞話題把一篇文章劃分為幾個相對獨立的部分，再給它們加上一個簡潔、恰當的小標題。如世界改變了模樣四個小標題：壽命變“長”了、世界變“小”了、勞動變“輕”了、文明變“綠”了。 2序號式。序號式作文與小標題作文有相同的特點。序號可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”從全文看，序號式干凈、明快；但從題目上看，卻看不出文章內容，只是標明了層次與部分。有時序號式作文，也適用

27、于敘述性文章，為故事情節(jié)的展開，提供了明晰的層次。 3總分式。如高考佳作人生也是一張答卷。開頭：“人生就是一張答卷。它上面有選擇題、填空題、判斷題和問答題，但它又不同于一般的答卷。一般的答卷用手來書寫，人生的答卷卻要用行動來書寫。”主體部分每段首句分別為：選擇題是對人生進行正確的取舍，填空題是充實自己的人生，判斷題是表明自己的人生態(tài)度，問答題是考驗自己解決問題的能力。這份“試卷”設計得合理而且實在，每個人的人生都是不同的，這就意味著這份人生試卷的“答案是豐富多彩的”。分解層次，應追求作文美學的三個價值取向：一要勻稱美。什么材料在前，什么材料在后，要合理安排；什么材料詳寫，什么材料略寫，要通盤考

28、慮。自然段是構成文章的基本單位，恰當劃分自然段，自然就成為分解層次的基本要求。該分段處就分段，不要老是開頭、正文、結尾“三段式”，這種老套的層次顯得呆板。二要波瀾美。文章內容應該有張有弛，有起有伏，如波如瀾。只有這樣才能使文章起伏錯落，一波三折，吸引讀者。三要圓合美。文章的開頭與結尾要遙相照應，把開頭描寫的事物或提出的問題，在結尾處用各種方式加以深化或回答，給人首尾圓合的感覺?！纠慕馄省?話題：忙忙，不亦樂乎 忙，是人生中一個個步驟，每個人所忙的事務不同，但是不能是碌碌無為地白忙，要忙就忙得精彩，忙得不亦樂乎。 忙是問號。忙看似簡單，但其中卻大有學問。忙是人生中不可缺少的一部分，但是怎么才能

29、忙出精彩，忙得不亦樂乎，卻并不簡單。人生如同一張地圖，我們一直在自己的地圖上行走，時不時我們眼前就出現一個十字路口，我們該向哪兒，面對那縱軸橫軸相交的十字路口，我們該怎樣選擇?不急，靜下心來分析一下，選擇適合自己的坐標軸才是最重要的。忙就是如此，選擇自己該忙的才能忙得有意義。忙是問號，這個問號一直提醒我們要忙得有意義，忙得不亦樂乎。 忙是省略號。四季在有規(guī)律地進行著冷暖交替，大自然就一直按照這樣的規(guī)律不停地忙，人們亦如此。為自己找一個目標，為目標而不停地忙，讓這種忙一直忙下去。當目標已達成，那么再找一個目標，繼續(xù)這樣忙，就像省略號一樣，毫無休止地忙下去，翻開歷史的長卷，我們看到牛頓在忙著他的實驗；愛迪生在忙著思考；徐霞客在忙著記載游玩；李時珍在忙著編寫本草綱目。再看那位以筆為刀槍的充滿著朝氣與力量的文學泰斗魯迅，他正忙著用他獨有的刀和槍在不停地奮斗。忙是省略號，確定了一個目標那么就一直忙下去吧!這樣的忙一定會忙出生命靈動的色彩。 忙是驚嘆號。世界上的人都在忙著自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜為回報。那么人呢?居里夫人的忙，以放射性元素的發(fā)現而得到了圓滿的休止符；愛因斯坦在忙，以相對論的問世而畫上了驚嘆號；李白的忙，以那豪放的詩歌而有了很大的成功；張衡的忙，因為那地動儀的問世而讓世人