学术研究报告：SatGuard——面向卫星网络的渗透测试与漏洞风险评估方法

一、 研究团队与发表信息

本研究的主要作者为金晓（Jin Xiao）、王步宏（Buhong Wang）、董若晨（Ruochen Dong）、赵正阳（Zhengyang Zhao）和赵伯府（Bofu Zhao），所有作者均来自中国西安的空军工程大学信息与导航学院。该研究以论文形式发表，标题为“SatGuard: Satellite Networks Penetration Testing and Vulnerability Risk Assessment Methods”，于2025年5月12日在期刊 *Aerospace*（2025年第12卷，第431号）上正式出版。通讯作者为王步宏。

二、 学术背景与研究目的

本研究属于卫星网络安全与人工智能辅助安全评估的交叉领域。随着以SpaceX星链（Starlink）为代表的低地球轨道（Low Earth Orbit, LEO）巨型星座的快速部署，卫星网络已成为全球通信、导航和远程连接的关键基础设施。然而，其复杂的多段式架构（空间段、地面段、用户段）、遗留协议的使用以及漫长的补丁部署周期，使其面临前所未有的网络安全威胁，例如2022年对Viasat的网络攻击事件。

当前，传统的网络安全评估方法在应用于卫星网络时存在显著局限。一方面，现有的渗透测试框架主要针对常规信息技术（Information Technology, IT）系统设计，缺乏对卫星特有漏洞（如射频物理层漏洞、轨道特定攻击向量）的分析能力。另一方面，广泛使用的通用漏洞评分系统（Common Vulnerability Scoring System, CVSS）采用线性评分模型，难以准确刻画卫星网络中因组件高度互联和非线性风险传播而产生的复杂风险特征。

因此，本研究旨在解决上述挑战，其核心目标是：开发一套专门针对卫星网络的安全评估框架，该框架应能系统性地进行渗透测试，并科学地量化漏洞风险。为实现这一目标，研究团队提出了名为“SatGuard”的创新框架，其核心贡献在于首次将大型语言模型（Large Language Models, LLMs）的上下文推理与代码生成能力，系统地集成到卫星网络的安全评估流程中，以实现半自动化的漏洞分析与利用，并提出了一个非线性的风险评估公式以更准确地反映卫星网络的独特风险特征。

三、 详细研究流程与方法

本研究的工作流程主要分为两大部分：一是提出并验证一套三维渗透测试方法；二是设计并应用一个非线性的漏洞风险评估公式。

第一部分：三维渗透测试方法的提出与验证

1. 方法设计：研究首先提出了一个专门针对卫星网络的三维渗透测试方法。该方法包含三个维度：

   • X轴（网络分段）：将卫星网络划分为用户段、地面段和空间段，以便针对不同任务关键组件进行重点评估。
   • Y轴（自动化程度）：提供手动、半自动和全自动三种操作模式，以适应不同的测试需求和资源。
   • Z轴（渗透流程）：强制执行规划、漏洞发现、分析、利用和修复五个阶段的顺序流程。 这个三维结构旨在为异构卫星架构提供一个系统化、可配置的测试方法论。

2. 实验设置与对象：为验证方法的有效性，研究聚焦于地面段（被视为卫星系统的关键且脆弱部分），并采用半自动化模式，利用LLMs作为核心辅助工具。实验模拟了一个卫星地面站环境。

   • 攻击平台：使用Kali Linux 2024.02作为攻击虚拟机。
   • 目标系统：使用Metasploitable虚拟机模拟存在漏洞的卫星地面站系统。研究指出，尽管Metasploitable是通用平台，但其包含的过时服务、不安全协议和错误配置（如VSFTPD后门、Java RMI漏洞、SSH配置不当）能够有效模拟真实卫星地面站基础设施中已记录的弱点。
   • LLMs选择：选取了OpenAI的GPT-4（代表国际领先的通用模型）和国内的DeepSeek-R1（代表中文领域优化的专业模型）进行对比研究，以评估不同LLM在安全任务中的表现。

3. 实验执行流程（遵循Z轴流程）：

   • 步骤1：规划：明确测试范围为模拟地面站，目标是评估其安全风险。
   • 步骤2：漏洞发现：使用Nmap工具对目标IP（192.168.1.10）进行全TCP端口扫描，识别出23个开放端口。
   • 步骤3：漏洞分析：将端口扫描结果以特定的提示词（Prompt）格式发送给GPT-4和DeepSeek-R1。提示词要求LLMs分析可能的漏洞、推荐Metasploit模块（含完整路径）、设置必要参数、评估成功率，并以严格的JSON格式返回可直接在命令行中运行的MSFconsole命令。此步骤旨在利用LLMs的自动化分析能力，将原始扫描数据转化为可执行的攻击指令。
   • 步骤4：漏洞利用：将LLMs生成的MSFconsole命令直接复制到渗透测试终端的命令行界面（Command-Line Interface, CLI）中执行，以验证漏洞是否可被成功利用。例如，针对1099端口（Java RMI服务），成功建立了与目标系统的会话，并后续通过LLMs交互获得了进行文件传输、权限提升和凭证窃取等后期利用活动的操作代码。
   • 步骤5：报告与修复：利用LLMs的能力生成渗透测试过程报告，详细记录发现的漏洞并提供具体的修复建议。

4. 数据处理与分析：

   • 成功率与交互次数：对每个关键端口（共30次尝试）记录LLM生成命令的成功利用次数，计算总体成功率。同时，记录完成每次测试所需的平均人机交互轮数。
   • LLMs输出分析：对GPT-4和DeepSeek-R1在三次重复实验中的输出进行定量（分析端口数量）和定性（分析覆盖范围和漏洞多样性）比较。

第二部分：非线性漏洞风险评估方法的设计与应用

1. 公式设计：研究提出了一个复合风险评分公式（公式1），以克服CVSS在线性评分和卫星网络特定风险刻画方面的不足。该公式集成了非线性放大、动态衰减和分段特定权重。 R = [ (I^α · L^β · M^γ) · D + T)/2 · δ(t) · C ] · ω_s 其中：

   • 核心风险因子：影响（I）、可能性（L）、可测性（M）、防御难度（D）、技术复杂度（T）。α, β, γ为非线性指数，用于放大高影响、低概率或低可测性的威胁。
   • 动态调整因子：时间衰减因子δ(t)（区分已修补/未修补状态）、置信度（C）（基于数据源可靠性调整）。
   • 环境权重因子：分段权重ω_s（空间段=1.5，地面段=1.2，用户段=1.0），以反映不同网络段的关键性。

2. 参数校准：公式中的关键参数（如α=1.2, β=1.1, γ=0.8）是通过分析历史卫星网络安全事件（如2022年Viasat攻击）确定的，以确保其符合卫星网络的实际风险特征。

3. 风险评估应用：利用上述公式，对实验中发现的所有23个端口漏洞进行了风险评分计算。由于所有漏洞均处于未修补状态，且属于同一目标（地面段），计算中采用了相应的未修补衰减因子和地面段权重。计算过程包括：

   • 计算原始风险值（R）：根据每个端口的服务特性，为其I, L, M, D, T等参数赋值，并代入公式计算。
   • 归一化处理：为避免参数极值组合导致分数膨胀，采用案例特定最大值法进行归一化，将分数映射到0-10分制。
   • 风险等级划分：根据归一化分数，将风险划分为低（0-3.0）、中（3.1-6.0）、高（6.1-8.0）、极高（8.1-10.0）四个等级。

四、 主要研究结果

1. 渗透测试实验结果：

   • 总体成功率：SatGuard框架在模拟地面站环境的渗透测试中取得了73.3%的成功率（30次尝试中成功22次）。
   • 自动化效率：平均每次测试仅需5.5次人机交互。这表明LLMs的集成显著提升了渗透测试的效率，能够自动分析端口潜在漏洞并生成可执行的攻击命令，减少了传统工具所需的大量手动操作。
   • LLMs性能对比：
     • GPT-4平均每次分析5个漏洞实例，DeepSeek-R1平均分析5.7个。
     • 在覆盖范围上，DeepSeek-R1展示了更全面的端口分析能力。
     • 在处理多漏洞场景时，GPT-4表现出更细致的枚举能力（如对22号端口列出了三种不同的利用路径），而DeepSeek-R1则相对精简。
   • 伦理保障：研究设计了两层保护机制（预交互角色设定、敏感词替换）来引导LLMs生成符合伦理安全实践的代码，以降低“越狱”风险，确保输出在合法授权的渗透测试工作流中既技术有效又程序合法。

2. 风险评估结果：

   • 应用提出的风险评估公式，对23个端口进行了评分。其中，22号端口（SSH）和3306号端口（MySQL）被评估为“极高”风险（归一化分数>8.7），这与它们对地面站运营的关键性和高可利用性相符。
   • 一个重要的验证发现是：GPT-4和DeepSeek-R1在漏洞分析步骤中，均系统地忽略了对被评估为“低”风险等级的端口的分析。它们只分析了被归类为“中”、“高”和“极高”风险等级的漏洞。这一结果从侧面证实了本研究提出的风险评估方法的有效性，因为它与LLMs的自动化分析重点产生了交集，表明该风险公式能够有效识别和优先处理真正需要关注的威胁。

3. 与现有方法的对比：研究将提出的风险评估方法与CVSS进行了详细比较。如表4所示，新方法在领域适用性（专为卫星网络设计）、核心参数（非线性放大 vs. 线性组合）、动态调整（指数时间衰减 vs. 静态时间乘数）和环境定制（分层分段权重 vs. 通用IT资产修改）等方面均具有针对卫星网络的优化优势，能够更好地捕捉“黑天鹅”事件、量化随时间变化的风险，并使资源分配与任务优先级保持一致。

五、 研究结论与价值

本研究成功开发并初步验证了SatGuard框架，这是一个集成了AI驱动半自动化渗透测试和卫星特异性非线性风险评估的创新解决方案。

• 科学价值：

  1. 方法论创新：提出了首个针对卫星网络的三维渗透测试方法论，以及一个考虑非线性风险传播、动态衰减和分段权重的复合风险评分公式，为卫星网络安全评估建立了更精细的理论模型。
  2. 技术路径探索：开创性地将GPT-4、DeepSeek-R1等大型语言模型应用于卫星网络安全领域，验证了LLMs在自动化漏洞分析和利用代码生成方面的潜力，为AI在关键基础设施安全中的实践提供了新思路。
  3. 有效性验证：通过受控实验，证明了该框架能够在模拟环境中有效发现和利用漏洞（73.3%成功率），同时其风险评估结果与LLMs的自动化分析焦点相吻合，证明了其逻辑一致性。

• 应用价值：

  1. 提升效率：SatGuard的半自动化工作流能显著减少人工审计周期，有助于像星链、柯伊伯计划这样的大型卫星运营商加速漏洞识别与修复进程，预估可减少超过40%的审计时间。
  2. 精准防护：非线性的风险评估模型能帮助安全团队更准确地识别和优先处理对卫星网络威胁最大的漏洞（如SSH、数据库服务），从而优化安全资源的配置。
  3. 面向未来：该框架为保护下一代卫星星座免受日益复杂的网络威胁提供了可扩展、符合伦理的解决方案，有助于增强全球空间基础设施的韧性和适应性安全态势。

六、 研究亮点

1. 首创性集成：本研究是首次系统地将大型语言模型（LLMs）整合到卫星网络渗透测试工作流中，实现了从漏洞发现、分析到利用命令生成的半自动化，代表了该领域方法论的重要进步。
2. 领域定制化风险评估：提出的非线性风险评估公式专门针对卫星网络架构和风险特征进行了优化，通过引入非线性指数、时间衰减因子和分段权重，克服了CVSS等通用标准在卫星场景下的局限性。
3. 实证驱动与验证：研究不仅提出了理论框架，还通过具体的模拟实验进行了验证。实验设计合理，使用广泛认可的渗透测试平台和先进的LLMs，提供了可量化的成功率（73.3%）和效率指标（平均5.5次交互），使结论具有说服力。
4. 兼顾效率与伦理：在追求自动化效率的同时，明确提出了针对LLMs在安全测试中可能产生伦理风险的防护措施（如角色设定、提示词工程），体现了在敏感基础设施测试中负责任的研究态度。
5. 对比分析深入：对GPT-4与DeepSeek-R1在安全任务中的表现进行了对比，不仅关注数量，还分析了覆盖范围和深度上的差异，为后续研究和工具选型提供了参考。

七、 其他有价值内容

研究在讨论部分坦诚地指出了当前工作的局限性，并提出了清晰的未来方向，体现了研究的严谨性和前瞻性：

1. 局限性：

   • 实验环境：Metasploitable环境是通用的，未能完全代表卫星地面站使用的实时操作系统（RTOS）、专有协议（如CCSDS标准）以及硬件特定漏洞（如辐射引发的故障）。
   • LLMs知识时效性：所用LLMs的训练数据截止到2023年，可能无法适应此后出现的零日漏洞或新型攻击模式，也未充分涵盖后量子密码等新兴威胁。
   • 通信链路覆盖：未验证光学通信链路（如CCSDS 142.0B）中的漏洞。

2. 未来方向：

   • 集成硬件在环（Hardware-in-the-loop）仿真，使用卫星级组件验证固件级和辐射效应漏洞。
   • 利用MITRE ATT&CK等实时威胁情报持续重新训练LLMs，以应对新兴攻击向量。
   • 将实验验证扩展到光学通信场景，使用软件定义无线电（Software-Defined Radio, SDR）和光学链路仿真器探测激光通信协议中的漏洞。

这些内容为后续研究者指明了改进和深化本工作的具体路径。