低地球轨道（LEO）巨型星座（如SpaceX的Starlink和Amazon的Kuiper）依赖光学星间链路（ISL）实现自主网格路由，为全球提供低延迟通信、物联网和安全服务。随着星座密度增加和多运营商对等组网，ISL完整性对商业可用性和国家安全至关重要。然而，现有实时安全方法仅关注物理层安全，对网络层及复合攻击存在盲点。本文提出一种跨层轻量级行为指纹框架CLIF，该框架在卫星上融合物理层测量（如信号强度、角度）与网络层数据（如流量统计、路由状态），以低计算开销检测异常。作者构建了覆盖Starlink第一壳层（1584颗卫星）、Kuiper壳层（1156颗卫星）以及多运营商联合对等场景（2740颗卫星）的轨道仿真，注入十种攻击类型（包括欺骗、流量操纵、路由颠覆等）并设置不同严重等级。评估了三种基于每颗卫星的无监督检测器，其中基于马氏距离的检测器在Starlink上达到99.5%的召回率，Kuiper上99.4%，多运营商星座上94.8%，同时保持假阳性率（FPR）低于0.7%。结果表明，跨层特征融合不仅对LEO星座的全面安全保护是必要的，而且在大规模网络中具有高成本效益，同时适合资源受限卫星的严格星上能量预算。该研究的核心贡献在于首次系统性地将物理层与网络层数据结合用于LEO星座攻击检测，并在大规模仿真中验证了其有效性与轻量性。

本文提出HoneySat，一个基于网络的卫星蜜罐框架，旨在模拟真实的卫星通信行为，以欺骗和检测针对卫星网络的攻击。卫星系统正面临日益增长的网络威胁，但现有安全手段（如入侵检测）在卫星领域部署不足，尤其缺乏交互式诱骗机制。HoneySat支持两种主流卫星协议生态系统：CSP（CubeSat Space Protocol）和CCSDS/YAMCS（Consultative Committee for Space Data Systems / Yet Another Mission Control System）。该框架通过Docker容器化部署，模拟了逼真的卫星遥测数据（如电压、温度、电流）、真实通信窗口（仅在预测过顶时段响应）以及交互式指令壳，允许攻击者发送命令并记录所有交互日志。论文通过五个实验系统验证了其设计目标：E1.1证明遥测数据可信；E1.2展示通信窗口的逼真性；E1.3验证交互能力（如执行系统命令）；E1.4确认日志记录功能；E2展示了框架的配置与扩展能力，支持用户自定义卫星名称、位置、协议类型。实验结果表明HoneySat能有效欺骗潜在攻击者并记录其活动。该框架为卫星网络安全研究提供了重要的测试和防御工具。

该论文揭示了地球静止轨道（GEO）卫星通信中存在严重的安全漏洞：卫星运营商和制造商在卫星管理控制链路中广泛使用不安全的明文协议（如HTTP、FTP、Telnet等），这些内部管理接口暴露在公共互联网上，未进行加密保护。研究者通过主动扫描GEO卫星的IP地址空间，发现大量卫星的敏感内部链接可以通过地面直接访问，攻击者能够利用这些未加密的接口窃听、篡改或劫持卫星的管理控制信号。研究测绘了GEO卫星的IP空间，统计了暴露的服务类型和数量，指出这种安全疏忽源于卫星行业长期缺乏安全规范，且卫星的生命周期长、难以升级固件，导致漏洞难以修复。论文的核心贡献是首次系统性地测绘和量化了GEO卫星明文内部链接的攻击面，引起了业界对卫星通信安全的高度重视。