低地球轨道（LEO）巨型星座（如SpaceX的Starlink和Amazon的Kuiper）依赖光学星间链路（ISL）实现自主网格路由，为全球提供低延迟通信、物联网和安全服务。随着星座密度增加和多运营商对等组网，ISL完整性对商业可用性和国家安全至关重要。然而，现有实时安全方法仅关注物理层安全，对网络层及复合攻击存在盲点。本文提出一种跨层轻量级行为指纹框架CLIF，该框架在卫星上融合物理层测量（如信号强度、角度）与网络层数据（如流量统计、路由状态），以低计算开销检测异常。作者构建了覆盖Starlink第一壳层（1584颗卫星）、Kuiper壳层（1156颗卫星）以及多运营商联合对等场景（2740颗卫星）的轨道仿真，注入十种攻击类型（包括欺骗、流量操纵、路由颠覆等）并设置不同严重等级。评估了三种基于每颗卫星的无监督检测器，其中基于马氏距离的检测器在Starlink上达到99.5%的召回率，Kuiper上99.4%，多运营商星座上94.8%，同时保持假阳性率（FPR）低于0.7%。结果表明，跨层特征融合不仅对LEO星座的全面安全保护是必要的，而且在大规模网络中具有高成本效益，同时适合资源受限卫星的严格星上能量预算。该研究的核心贡献在于首次系统性地将物理层与网络层数据结合用于LEO星座攻击检测，并在大规模仿真中验证了其有效性与轻量性。