Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Techniques de contrôle des robots
L'objectif principal de l'atténuation des bots est de limiter l'impact négatif de l'activité des robots automatisés sur les sites Web, les services et les applications d'une organisation. La technologie et les techniques utilisées dépendent du type de trafic ou d'activité contre lequel vous souhaitez vous défendre. Pour y parvenir, il est essentiel de comprendre l'application et son trafic. Pour plus d'informations sur le point de départ, consultez la [Directives pour le suivi de votre stratégie de contrôle des bots](monitoring.md) section de ce guide.
En général, les contrôles fournis par les solutions d'atténuation des bots peuvent être regroupés dans les catégories de haut niveau suivantes : statique, identification du client et analyse avancée. La figure suivante montre les différentes techniques disponibles et la manière dont elles peuvent être utilisées en fonction de la complexité de l'activité du bot. Cela montre comment la base, ou l'atténuation la plus large, peut être obtenue grâce à l'utilisation de contrôles statiques, tels que les listes d'autorisation et les vérifications intrinsèques. La plus petite partie de robots est toujours la plus avancée, et pour lutter contre ces robots, il faut une technologie plus avancée et une combinaison de contrôles.
![\[À mesure que la complexité des robots augmente, la complexité et la sophistication des techniques d'atténuation augmentent également.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/bot-control/images/bot-mitigation-techniques.png)
Ensuite, ce guide explore chaque catégorie et ses techniques. Il décrit également les options disponibles [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)pour implémenter ces contrôles :
+ [Contrôles statiques pour la gestion des robots](static-controls.md)
+ [Contrôles d'identification des clients pour la gestion des robots](client-identification-controls.md)
+ [Contrôles d'analyse avancés pour la gestion des robots](advanced-analysis-controls.md)
# Contrôles statiques pour la gestion des robots
Pour effectuer une action, les *contrôles statiques* évaluent les informations statiques de la requête HTTP (S), telles que son adresse IP ou ses en-têtes. Ces contrôles peuvent être utiles pour les activités de robots peu sophistiquées ou pour le trafic bénéfique attendu de robots qui doit être vérifié et géré. Les techniques de contrôle statique incluent : les listes d'autorisations, les contrôles basés sur l'adresse IP et les contrôles intrinsèques.
## Autoriser l'annonce
L'autorisation de mise en vente est un contrôle qui permet d'identifier le trafic convivial par le biais des contrôles d'atténuation des bots existants. Il existe différentes manières d'y parvenir. Le plus simple est d'utiliser une règle qui [correspond à un ensemble d'adresses IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html) ou à une condition de correspondance similaire. Lorsqu'une demande correspond à une règle définie pour une `Allow` action, elle n'est pas évaluée par les règles suivantes. Dans certains cas, vous devez empêcher l'application de certaines règles uniquement ; en d'autres termes, vous devez autoriser la liste pour une règle, mais pas pour toutes les règles. Il s'agit d'un scénario courant de gestion des faux positifs pour les règles. L'autorisation de mise en vente est considérée comme une règle générale. Pour réduire le risque de faux négatifs, nous vous recommandons de l'associer à une autre option plus précise, telle qu'une correspondance de chemin ou d'en-tête.
## Contrôles basés sur IP
### Blocs d'adresses IP uniques
Un outil couramment utilisé pour atténuer l'impact des robots consiste à limiter les demandes provenant d'un seul demandeur. L'exemple le plus simple consiste à bloquer l'adresse IP source du trafic si ses demandes sont malveillantes ou si leur volume est élevé. Cela utilise des [règles de correspondance des ensembles d' AWS WAF adresses IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html) pour implémenter des blocs basés sur l'adresse IP. Ces règles correspondent aux adresses IP et appliquent une action de `Block``Challenge`, ou`CAPTCHA`. Vous pouvez déterminer si un trop grand nombre de demandes proviennent d'une adresse IP en consultant le réseau de diffusion de contenu (CDN), un pare-feu d'applications Web ou les journaux des applications et des services. Cependant, dans la plupart des cas, ce contrôle n'est pas pratique sans automatisation.
L'automatisation des listes d'adresses IP bloquées se AWS WAF fait généralement à l'aide de règles basées sur le débit. Pour plus d’informations, consultez [Règles basées sur un débit](#rate-based-rules) dans ce guide. Vous pouvez également implémenter les [automatisations de sécurité pour la AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html) solution. Cette solution met automatiquement à jour la liste des adresses IP à bloquer, et une AWS WAF règle refuse les demandes correspondant à ces adresses IP.
L'un des moyens de reconnaître une attaque de bot consiste à faire en sorte qu'une multitude de requêtes provenant de la même adresse IP se concentrent sur un petit nombre de pages Web. Cela indique que le bot supprime les prix ou tente à plusieurs reprises des connexions qui échouent à un pourcentage élevé. Vous pouvez créer des automatisations qui reconnaissent immédiatement ce modèle. Les automatisations bloquent l'adresse IP, ce qui réduit l'efficacité de l'attaque en l'identifiant et en l'atténuant rapidement. Le blocage d'adresses IP spécifiques est moins efficace lorsqu'un attaquant dispose d'un grand nombre d'adresses IP à partir desquelles lancer des attaques ou lorsque le comportement de l'attaque est difficile à reconnaître et à distinguer du trafic normal.
### Réputation de l'adresse IP
Un *service de réputation IP* fournit des informations qui aident à évaluer la fiabilité d'une adresse IP. Ces informations sont généralement dérivées en agrégeant les informations relatives à l'IP provenant des activités passées à partir de cette adresse IP. Une activité antérieure permet d'indiquer dans quelle mesure une adresse IP est susceptible de générer des requêtes malveillantes. Les données sont ajoutées à des listes gérées qui suivent le comportement des adresses IP.
Les adresses IP anonymes constituent un cas spécifique de réputation des adresses IP. L'adresse IP source provient de sources connues d'adresses IP faciles à acquérir, telles que des machines virtuelles basées sur le cloud, ou de proxys, tels que des fournisseurs VPN ou des nœuds Tor connus. Les groupes de règles gérés par la [liste de réputation d' AWS WAF Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) [IP et la liste d'adresses IP anonymes](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) utilisent les renseignements internes d'Amazon sur les menaces pour identifier ces adresses IP.
Les informations fournies par ces listes gérées peuvent vous aider à agir sur les activités identifiées à partir de ces sources. Sur la base de ces informations, vous pouvez créer des règles qui bloquent directement le trafic ou des règles qui limitent le nombre de demandes (telles que des règles basées sur le débit). Vous pouvez également utiliser cette intelligence pour évaluer la source du trafic en utilisant les règles en `COUNT` mode. Cela examine les critères de correspondance et applique des étiquettes que vous pouvez utiliser pour créer des règles personnalisées.
### Règles basées sur un débit
Les règles basées sur les taux peuvent être un outil précieux pour certains scénarios. Par exemple, les règles basées sur les taux sont efficaces lorsque le trafic des robots atteint des volumes élevés par rapport aux utilisateurs utilisant des identifiants de ressources uniformes sensibles (URIs) ou lorsque le volume de trafic commence à affecter les opérations normales. La limitation du débit permet de maintenir les demandes à des niveaux gérables et de limiter et de contrôler l'accès. AWS WAF peut implémenter une règle de limitation de débit dans une [liste de contrôle d'accès Web (ACL Web)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) en utilisant une instruction de règle [basée sur le taux](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html). Lorsque vous utilisez des règles basées sur le taux, il est recommandé d'inclure une règle générale couvrant l'ensemble du site, des règles spécifiques aux URI et des règles basées sur le taux de réputation des adresses IP. Les règles basées sur le taux de réputation IP associent l'intelligence de la réputation des adresses IP à une fonctionnalité de limitation du débit.
Pour l'ensemble du site, une règle générale basée sur le taux de réputation IP crée un plafond qui empêche les robots peu sophistiqués d'inonder un site à partir d'un petit nombre de. IPs La limitation du débit est particulièrement recommandée pour les protections URIs qui ont un coût ou un impact élevé, telles que les pages de connexion ou de création de compte.
Les règles de limitation de débit peuvent fournir un premier niveau de défense rentable. Vous pouvez utiliser des règles plus avancées pour protéger les informations sensibles URIs. Les règles basées sur le débit spécifiques à l'URI peuvent limiter l'impact sur les pages critiques ou sur celles APIs qui affectent le backend, telles que l'accès aux bases de données. Les mesures d'atténuation avancées visant à protéger certains URIs, abordées plus loin dans ce guide, entraînent souvent des coûts supplémentaires, et ces règles basées sur les taux spécifiques aux URI peuvent vous aider à contrôler les coûts. Pour plus d'informations sur les règles basées sur les taux couramment recommandées, consultez [les trois règles basées AWS WAF sur les taux les plus importantes dans le blog](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) sur la AWS sécurité. Dans certains cas, il est utile de limiter le type de demande évalué par une règle basée sur le taux. Vous pouvez utiliser des [instructions de portée réduite](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) pour, par exemple, limiter les règles basées sur le taux en fonction de la zone géographique de l'adresse IP source.
AWS WAF offre une fonctionnalité avancée pour les règles basées sur les taux grâce à l'utilisation de [clés d'agrégation](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html). Grâce à cette fonctionnalité, vous pouvez configurer une règle basée sur le taux pour utiliser diverses autres clés d'agrégation et combinaisons de touches, en plus de l'adresse IP source. Par exemple, en tant que combinaison unique, vous pouvez agréger les demandes en fonction d'une adresse IP transférée, de la méthode HTTP et d'un argument de requête. Cela vous permet de configurer des règles plus précises pour une atténuation volumétrique sophistiquée du trafic.
## Contrôles intrinsèques
Les *contrôles intrinsèques* sont différents types de validations ou de vérifications internes ou inhérentes au sein d'un système ou d'un processus. Pour le contrôle des robots, AWS WAF effectue une vérification intrinsèque en validant que les informations envoyées dans la demande correspondent aux signaux du système. Par exemple, il effectue des recherches DNS inversées et d'autres vérifications du système. Certaines demandes automatisées sont nécessaires, telles que les demandes liées au référencement. Autoriser la mise en vente est un moyen de laisser passer les bons robots attendus. Mais parfois, les robots malveillants imitent les bons robots, et il peut être difficile de les séparer. AWS WAF fournit des méthodes pour y parvenir par le biais du [groupe de règles AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) géré. Les règles de ce groupe permettent de vérifier que les robots auto-identifiés sont bien ceux qu'ils prétendent être. AWS WAF vérifie les détails de la demande par rapport au modèle connu de ce bot, et il effectue également des recherches DNS inversées et d'autres vérifications objectives.
# Contrôles d'identification des clients pour la gestion des robots
Si le trafic lié à une attaque ne peut pas être facilement reconnu par le biais d'attributs statiques, la détection doit être en mesure d'identifier avec précision le client à l'origine de la demande. Par exemple, les règles basées sur le débit sont souvent plus efficaces et plus difficiles à contourner lorsque l'attribut limité au débit est spécifique à une application, tel qu'un cookie ou un jeton. L'utilisation d'un cookie lié à une session empêche les opérateurs de botnet de dupliquer des flux de demandes similaires entre de nombreux robots.
L'acquisition de jetons est couramment utilisée pour l'identification des clients. Pour l'acquisition de jetons, un JavaScript code collecte des informations pour générer un jeton qui est évalué côté serveur. L'évaluation peut aller de la vérification de ce qui JavaScript s'exécute sur le client à la collecte d'informations sur le périphérique pour la prise d'empreintes digitales. L'acquisition de jetons nécessite l'intégration d'un JavaScript SDK dans le site ou l'application, ou nécessite qu'un fournisseur de services effectue l'injection de manière dynamique.
Le fait d'avoir besoin d' JavaScript assistance constitue un obstacle supplémentaire pour les robots qui tentent d'émuler des navigateurs. Lorsqu'un SDK est impliqué, par exemple dans une application mobile, l'acquisition de jetons vérifie l'implémentation du SDK et empêche les robots d'imiter les requêtes de l'application.
L'acquisition de jetons nécessite l'utilisation d' SDKs une implémentation côté client de la connexion. Les AWS WAF fonctionnalités suivantes fournissent un SDK JavaScript basé sur les navigateurs et un SDK basé sur des applications pour les appareils mobiles : [Bot Control, prévention du rachat de compte Fraud Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) [(ATP) et prévention de la fraude](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) lors de la [création de comptes Fraud Control (ACFP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-acfp.html)).
Les techniques d'identification des clients incluent le CAPTCHA, le profilage du navigateur, l'empreinte digitale de l'appareil et l'empreinte TLS.
## CAPTCHA
Le test public de Turing entièrement automatisé pour différencier les ordinateurs des humains ([CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha.html)) est utilisé pour distinguer les visiteurs robotiques des visiteurs humains et pour empêcher le scraping Web, le bourrage d'informations d'identification et le spam. Il existe une variété de mises en œuvre, mais elles impliquent souvent un casse-tête qu'un humain peut résoudre. CAPTCHAsoffrent un niveau de défense supplémentaire contre les robots courants et peuvent réduire le nombre de faux positifs lors de la détection des robots.
AWS WAF permet aux règles d'exécuter une action CAPTCHA sur les requêtes Web qui répondent aux critères d'inspection d'une règle. Cette action est le résultat de l'évaluation des informations d'identification des clients collectées par le service. AWS WAF les règles peuvent nécessiter la résolution de problèmes CAPTCHA pour des ressources spécifiques fréquemment ciblées par des robots, telles que la connexion, la recherche et les soumissions de formulaires. AWS WAF peut directement servir le CAPTCHA par des moyens interstitiels ou en utilisant un SDK pour le gérer côté client. Pour plus d'informations, voir [CAPTCHA et Challenge](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge.html) dans. AWS WAF
## Profilage du navigateur
Le *profilage du navigateur* est une méthode de collecte et d'évaluation des caractéristiques du navigateur, dans le cadre de l'acquisition de jetons, afin de distinguer les vrais humains utilisant un navigateur interactif de l'activité des robots distribués. Vous pouvez établir un profilage de navigateur de manière passive par le biais des en-têtes, de l'ordre des en-têtes et d'autres caractéristiques des demandes inhérentes au fonctionnement des navigateurs.
Vous pouvez également effectuer le profilage du navigateur dans le code à l'aide de l'acquisition de jetons. En utilisant JavaScript le profilage du navigateur, vous pouvez rapidement déterminer si un client est compatible JavaScript. Cela vous permet de détecter les robots simples qui ne le supportent pas. Le profilage du navigateur ne se limite pas aux en-têtes et au JavaScript support HTTP ; le profilage du navigateur complique l'émulation complète d'un navigateur Web pour les robots. Les deux options de profilage du navigateur ont le même objectif : trouver des modèles dans un profil de navigateur qui indiquent une incohérence avec le comportement d'un navigateur réel.
AWS WAF le contrôle par bot pour les robots ciblés indique, dans le cadre de l'évaluation des jetons, si un navigateur présente des preuves d'automatisation ou des signaux incohérents. AWS WAF marque la demande afin d'effectuer l'action spécifiée dans la règle. Pour plus d'informations, consultez la section [Détecter et bloquer le trafic des bots avancés](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) dans le blog sur la AWS sécurité.
## Empreinte digitale de l'appareil
L'empreinte digitale de l'appareil est similaire au profilage des navigateurs, mais elle ne se limite pas aux navigateurs. Le code exécuté sur un appareil (qui peut être un appareil mobile ou un navigateur Web) collecte et rapporte les détails de l'appareil à un serveur principal. Les détails peuvent inclure les attributs du système, tels que la mémoire, le type de processeur, le type de noyau du système d'exploitation (OS), la version du système d'exploitation et la virtualisation.
Vous pouvez utiliser les empreintes digitales de l'appareil pour savoir si un bot émule un environnement ou s'il existe des signes directs indiquant que l'automatisation est utilisée. En outre, les empreintes digitales de l'appareil peuvent également être utilisées pour reconnaître les demandes répétées provenant du même appareil.
La reconnaissance des demandes répétées provenant du même appareil, même si celui-ci essaie de modifier certaines caractéristiques de la demande, permet au système principal d'imposer des règles de limitation de débit. Les règles de limitation de débit basées sur l'empreinte digitale de l'appareil sont généralement plus efficaces que les règles de limitation de débit basées sur les adresses IP. Cela vous permet de limiter le trafic de bots qui alterne entre des proxys VPNs ou des proxys, mais qui provient d'un petit nombre d'appareils.
Lorsqu'il est utilisé avec l'intégration d'applications SDKs, AWS WAF le contrôle des robots ciblés peut agréger le comportement des demandes de session client. Cela vous permet de détecter et de séparer les sessions clients légitimes des sessions client malveillantes, même lorsque les deux proviennent de la même adresse IP. Pour plus d'informations sur le AWS WAF contrôle des bots pour les robots ciblés, consultez la section [Détecter et bloquer le trafic des bots avancés](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) dans le blog sur la AWS sécurité.
## Empreinte TLS
Les empreintes digitales TLS, également appelées *règles basées sur les signatures,* sont couramment utilisées lorsque les robots proviennent de nombreuses adresses IP mais présentent des caractéristiques similaires. Lors de l'utilisation du protocole HTTPS, le client et le serveur échangent des messages pour s'accuser réception et se vérifier mutuellement. Ils établissent des algorithmes cryptographiques et des clés de session. C'est ce qu'on appelle une poignée de *main TLS*. La façon dont une poignée de main TLS est mise en œuvre est une signature souvent utile pour reconnaître les attaques de grande envergure réparties sur de nombreuses adresses IP.
L'empreinte TLS permet aux serveurs Web de déterminer l'identité d'un client Web avec un haut degré de précision. Il ne nécessite que les paramètres de la première connexion par paquets, avant tout échange de données d'application. Dans ce cas, le *client Web* fait référence à l'application qui lance une demande, qui peut être un navigateur, un outil CLI, un script (bot), une application native ou un autre client.
[L'une des approches d'empreinte SSL et TLS est JA3 l'empreinte digitale.](https://github.com/salesforce/ja3) JA3enregistre une connexion client en fonction des champs du message Client Hello issu de la poignée de main SSL ou TLS. Il vous permet de profiler des clients SSL et TLS spécifiques sur différentes adresses IP sources, différents ports et différents certificats X.509.
Amazon CloudFront prend en charge [l'ajout d' JA3 en-têtes](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-cloudfront-headers.html) aux demandes. Un `CloudFront-Viewer-JA3-Fingerprint` en-tête contient une empreinte de hachage de 32 caractères du paquet TLS Client Hello d'une demande d'affichage entrante. L'empreinte digitale encapsule les informations relatives à la façon dont le client communique. Ces informations peuvent être utilisées pour établir le profil des clients qui partagent le même schéma. Vous pouvez ajouter l'`CloudFront-Viewer-JA3-Fingerprint`en-tête à une politique de demande d'origine et associer cette politique à une CloudFront distribution. Vous pouvez ensuite inspecter la valeur de l'en-tête dans les applications d'origine ou dans Lambda @Edge et CloudFront Functions. Vous pouvez comparer la valeur de l'en-tête à une liste d'empreintes de logiciels malveillants connus pour bloquer les clients malveillants. Vous pouvez également comparer la valeur de l'en-tête à une liste d'empreintes attendues pour autoriser uniquement les demandes provenant de clients connus.
# Contrôles d'analyse avancés pour la gestion des robots
Certains robots utilisent des outils de tromperie avancés pour échapper activement à la détection. Ces robots imitent le comportement humain afin d'effectuer une activité spécifique, telle que le scalping. Ces robots ont un but, et celui-ci est généralement lié à une grosse récompense monétaire.
Ces robots avancés et persistants utilisent une combinaison de technologies pour échapper à la détection ou se fondre dans le trafic normal. À son tour, cela nécessite également une combinaison de différentes technologies de détection pour identifier et atténuer avec précision le trafic malveillant.
## Cas d'utilisation ciblés
Les données de cas d'utilisation peuvent fournir des opportunités de détection des robots. Les *détections de fraudes sont des* cas d'utilisation particuliers où des mesures d'atténuation spéciales sont justifiées. Par exemple, pour empêcher le piratage de comptes, vous pouvez comparer une liste de noms d'utilisateur et de mots de passe de comptes compromis avec les demandes de connexion ou de création de compte. Cela permet aux propriétaires de sites Web de détecter les tentatives de connexion utilisant des informations d'identification compromises. L'utilisation d'informations d'identification compromises peut indiquer que des robots tentent de prendre le contrôle d'un compte ou que des utilisateurs ne savent pas que leurs informations d'identification sont compromises. Dans ce cas d'utilisation, les propriétaires de sites Web peuvent prendre des mesures supplémentaires pour vérifier l'identité de l'utilisateur, puis l'aider à modifier son mot de passe. AWS WAF fournit la règle gérée de [prévention de la prise de contrôle des comptes (ATP) de Fraud Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) pour ce cas d'utilisation.
## Détection de bots agrégée ou au niveau de l'application
Certains cas d'utilisation nécessitent de combiner les données relatives aux demandes provenant du réseau de diffusion de contenu (CDN) et du backend de l'application ou du service. AWS WAF Parfois, vous devez même intégrer des informations tierces pour pouvoir prendre des décisions fiables concernant les robots.
[Fonctionnalités d'[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) et AWS WAF peuvent envoyer des signaux à l'infrastructure principale, ou elles peuvent ensuite agréger les règles par le biais d'en-têtes et d'étiquettes.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) CloudFront expose les en-têtes JA3 d'empreintes digitales, comme mentionné précédemment. Il s'agit d'un exemple de CloudFront fourniture de telles données par le biais d'un en-tête. AWS WAF peut envoyer des étiquettes lorsqu'elles correspondent à une règle. Les règles suivantes peuvent utiliser ces étiquettes pour prendre de meilleures décisions concernant les robots. Lorsque plusieurs règles sont combinées, vous pouvez implémenter des contrôles très précis. Un cas d'utilisation courant consiste à faire correspondre certaines parties d'une règle gérée par le biais d'une étiquette, puis à la combiner avec d'autres données de demande. Pour plus d'informations, consultez les [exemples de correspondance d'étiquettes](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-label-match-examples.html) dans la AWS WAF documentation.
## Analyse de l'apprentissage automatique
L'apprentissage automatique (ML) est une technique puissante pour traiter avec les robots. Le ML peut s'adapter à l'évolution des détails et, lorsqu'il est combiné à d'autres outils, constitue le moyen le plus robuste et le plus complet d'atténuer les bots avec un minimum de faux positifs. Les deux techniques de machine learning les plus courantes sont l'*analyse comportementale* et la *détection des anomalies*. Grâce à l'analyse comportementale, un système (dans le client, le serveur ou les deux) surveille la manière dont un utilisateur interagit avec l'application ou le site Web. Il surveille les mouvements de la souris ou la fréquence des interactions entre les clics et les touches. Le comportement est ensuite analysé à l'aide d'un modèle ML pour reconnaître les robots. La détection des anomalies est similaire. Il se concentre sur la détection de comportements ou de modèles significativement différents d'une base de référence définie pour l'application ou le site Web.
AWS WAF les contrôles ciblés pour les robots fournissent une technologie ML prédictive. Cette technologie permet de se défendre contre les attaques distribuées basées sur un proxy qui sont lancées par des robots conçus pour échapper à la détection. Le [groupe de règles géréAWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) utilise une analyse automatique automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité de bot distribuée et coordonnée.