Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tecniche per il controllo dei bot
L'obiettivo principale della mitigazione dei bot è limitare l'impatto negativo dell'attività automatizzata dei bot sui siti Web, sui servizi e sulle applicazioni di un'organizzazione. La tecnologia e le tecniche utilizzate dipendono dal tipo di traffico o di attività da cui ci si vuole difendere. Comprendere l'applicazione e il relativo traffico è fondamentale per raggiungere questo obiettivo. Per ulteriori informazioni su dove iniziare, consulta la [Linee guida per il monitoraggio della strategia di controllo dei bot](monitoring.md) sezione di questa guida.
In generale, i controlli forniti dalle soluzioni di mitigazione dei bot possono essere raggruppati nelle seguenti categorie di alto livello: statico, identificazione del cliente e analisi avanzata. La figura seguente mostra le diverse tecniche disponibili e come possono essere utilizzate a seconda della complessità dell'attività del bot. Ciò evidenzia come la mitigazione di base, o più ampia, possa essere ottenuta mediante l'uso di controlli statici, come l'elenco degli indirizzi consentiti e i controlli intrinseci. La parte più piccola dei bot è sempre la più avanzata e la mitigazione di questi bot richiede una tecnologia più avanzata e una combinazione di controlli.
![\[Con l'aumentare della complessità dei bot, devono crescere anche la complessità e la sofisticazione delle tecniche di mitigazione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/bot-control/images/bot-mitigation-techniques.png)
Successivamente, questa guida esplora ogni categoria e le relative tecniche. Descrive inoltre le opzioni disponibili [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)per implementare questi controlli:
+ [Controlli statici per la gestione dei bot](static-controls.md)
+ [Controlli di identificazione dei client per la gestione dei bot](client-identification-controls.md)
+ [Controlli di analisi avanzati per la gestione dei bot](advanced-analysis-controls.md)
# Controlli statici per la gestione dei bot
Per eseguire un'azione, *i controlli statici* valutano le informazioni statiche contenute nella richiesta HTTP (S), come l'indirizzo IP o le intestazioni. Questi controlli possono essere utili per attività bot poco sofisticate o per il traffico di bot vantaggioso previsto che deve essere verificato e gestito. Le tecniche di controllo statico includono: elenco degli indirizzi consentiti, controlli basati su IP e controlli intrinseci.
## Consenti l'inserzione
L'elenco consentito è un controllo che consente l'identificazione di traffico amichevole tramite i controlli di mitigazione dei bot esistenti. Esistono diversi modi per farlo. Il metodo più semplice consiste nell'utilizzare una regola che [corrisponda a un insieme di indirizzi IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html) o a una condizione di corrispondenza simile. Quando una richiesta corrisponde a una regola impostata su un'`Allow`azione, non viene valutata dalle regole successive. In alcuni casi, è necessario impedire che vengano applicate solo determinate regole; in altre parole, è necessario consentire l'elenco di una regola ma non di tutte le regole. Si tratta di uno scenario comune per la gestione dei falsi positivi per le regole. L'opzione Allow listing è considerata una regola di ampio respiro. Per ridurre il rischio di falsi negativi, ti consigliamo di abbinarla a un'altra opzione più granulare, come un percorso o un header match.
## Controlli basati su IP
### Blocchi di indirizzi IP singoli
Uno strumento comunemente usato per mitigare l'impatto dei bot consiste nel limitare le richieste provenienti da un singolo richiedente. L'esempio più semplice consiste nel bloccare l'indirizzo IP di origine del traffico se le sue richieste sono dannose o hanno un volume elevato. Questo utilizza [le regole AWS WAF IP set match](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html) per implementare blocchi basati su IP. Queste regole corrispondono agli indirizzi IP e applicano un'azione di `Block``Challenge`, o`CAPTCHA`. È possibile determinare quando arrivano troppe richieste da un indirizzo IP esaminando il Content Delivery Network (CDN), un firewall di applicazioni Web o i registri di applicazioni e servizi. Tuttavia, nella maggior parte dei casi, questo controllo non è pratico senza automazione.
L'automazione degli elenchi di indirizzi IP bloccati AWS WAF viene in genere eseguita con regole basate sulla frequenza. Per ulteriori informazioni sul tagging, consulta [Regole basata sulla frequenza](#rate-based-rules)in questa guida. Puoi anche implementare la soluzione [Security Automations for](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html). AWS WAF Questa soluzione aggiorna automaticamente un elenco di indirizzi IP da bloccare e una AWS WAF regola nega le richieste che corrispondono a tali indirizzi IP.
Un modo per riconoscere un attacco bot è se una moltitudine di richieste provenienti dallo stesso indirizzo IP si concentra su un numero limitato di pagine Web. Ciò indica che il bot sta abbassando i prezzi o sta tentando ripetutamente di effettuare accessi con esito negativo con una percentuale elevata. È possibile creare automazioni che riconoscono immediatamente questo schema. Le automazioni bloccano l'indirizzo IP, il che riduce l'efficacia dell'attacco identificandolo e mitigandolo rapidamente. Il blocco di indirizzi IP specifici è meno efficace quando un utente malintenzionato dispone di un'ampia raccolta di indirizzi IP da cui lanciare attacchi o quando il comportamento di attacco è difficile da riconoscere e separare dal traffico normale.
### Reputazione degli indirizzi IP
Un *servizio di reputazione IP* fornisce informazioni che aiutano a valutare l'affidabilità di un indirizzo IP. Questa intelligence viene in genere derivata dall'aggregazione di informazioni relative all'IP relative alle attività passate provenienti da quell'indirizzo IP. Le attività precedenti aiutano a indicare la probabilità che un indirizzo IP generi richieste dannose. I dati vengono aggiunti agli elenchi gestiti che tengono traccia del comportamento degli indirizzi IP.
Gli indirizzi IP anonimi sono un caso specializzato di reputazione degli indirizzi IP. L'indirizzo IP di origine proviene da fonti note di indirizzi IP facilmente acquisibili, come macchine virtuali basate sul cloud, o da proxy, come provider VPN o nodi Tor noti. I gruppi di regole gestiti da AWS WAF [Amazon IP Reputation List](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) [e Anonymous IP List](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) utilizzano l'intelligence interna di Amazon sulle minacce per identificare questi indirizzi IP.
L'intelligence fornita da questi elenchi gestiti può aiutarti ad agire in base alle attività identificate da queste fonti. Sulla base di queste informazioni, puoi creare regole che bloccano direttamente il traffico o regole che limitano il numero di richieste (come le regole basate sulla tariffa). È inoltre possibile utilizzare questa intelligenza per valutare la fonte del traffico utilizzando le regole in `COUNT` modalità. In questo modo vengono esaminati i criteri di corrispondenza e vengono applicate etichette che è possibile utilizzare per creare regole personalizzate.
### Regole basata sulla frequenza
Le regole basate sulle tariffe possono essere uno strumento prezioso per determinati scenari. Ad esempio, le regole basate sulla tariffa sono efficaci quando il traffico bot raggiunge volumi elevati rispetto agli utenti che utilizzano identificatori di risorse uniformi sensibili (URIs) o quando il volume di traffico inizia a influire sulle normali operazioni. La limitazione della velocità può mantenere le richieste a livelli gestibili e limitare e controllare l'accesso. AWS WAF [può implementare una regola di limitazione della velocità in una [lista di controllo degli accessi Web (Web ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) utilizzando una dichiarazione di regola basata sulla velocità.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html) Un approccio consigliato quando si utilizzano regole basate sulla frequenza consiste nell'includere una regola generale che copra l'intero sito, regole specifiche per l'URI e regole basate sulla percentuale di reputazione IP. Le regole basate sulla percentuale di reputazione IP combinano l'intelligenza della reputazione degli indirizzi IP con la funzionalità di limitazione della velocità.
Per l'intero sito, una regola generale basata sul tasso di reputazione IP crea un limite che impedisce a bot non sofisticati di invadere il sito con un numero limitato di utenti. IPs La limitazione della velocità è particolarmente consigliata per proteggere pagine URIs che hanno costi o impatto elevati, come le pagine di accesso o di creazione di account.
Le regole di limitazione della velocità possono fornire un primo livello di difesa efficiente in termini di costi. È possibile utilizzare regole più avanzate per proteggere i dati sensibili. URIs Le regole basate sulla frequenza specifiche degli URI possono limitare l'impatto sulle pagine critiche o su quelle APIs che influiscono sul backend, come l'accesso al database. Le mitigazioni avanzate per la protezione di determinate misure URIs, illustrate più avanti in questa guida, spesso comportano costi aggiuntivi e queste regole basate sulle tariffe specifiche per gli URI possono aiutarvi a controllare i costi. Per ulteriori informazioni sulle regole basate sulla tariffa comunemente consigliate, consulta Le [tre regole basate sulla tariffa più importanti nel Security](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) Blog. AWS WAF AWS In alcune situazioni, è utile limitare il tipo di richiesta valutata da una regola basata sulla tariffa. È possibile utilizzare le [istruzioni scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) per, ad esempio, limitare le regole basate sulla frequenza in base all'area geografica dell'indirizzo IP di origine.
AWS WAF [offre una funzionalità avanzata per le regole basate sulla velocità tramite l'uso di chiavi di aggregazione.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html) Con questa funzionalità, è possibile configurare una regola basata sulla frequenza per utilizzare varie altre chiavi di aggregazione e combinazioni di tasti, oltre all'indirizzo IP di origine. Ad esempio, come singola combinazione, puoi aggregare le richieste in base a un indirizzo IP inoltrato, al metodo HTTP e a un argomento di query. Ciò consente di configurare regole più dettagliate per una sofisticata mitigazione del traffico volumetrico.
## Controlli intrinseci
I *controlli intrinseci* sono vari tipi di convalide o verifiche interne o intrinseche all'interno di un sistema o processo. Per il controllo dei bot, AWS WAF esegue un controllo intrinseco convalidando che le informazioni inviate nella richiesta corrispondano ai segnali del sistema. Ad esempio, esegue ricerche DNS inverse e altre verifiche di sistema. Alcune richieste automatiche sono necessarie, come le richieste relative alla SEO. L'opzione Allow Listing è un modo per consentire l'accesso a bot validi e attesi. A volte, però, i bot malevoli emulano bot validi e può essere difficile separarli. AWS WAF fornisce metodi per eseguire questa operazione tramite il gruppo di regole [AWS WAF Bot](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Control gestito. Le regole di questo gruppo consentono di verificare che i bot autoidentificati siano chi dicono di essere. AWS WAF verifica i dettagli della richiesta rispetto allo schema noto di quel bot ed esegue anche ricerche DNS inverse e altre verifiche oggettive.
# Controlli di identificazione dei client per la gestione dei bot
Se il traffico correlato agli attacchi non può essere facilmente riconosciuto tramite attributi statici, il rilevamento deve essere in grado di identificare con precisione il client che effettua la richiesta. Ad esempio, le regole basate sulla frequenza sono spesso più efficaci e più difficili da eludere quando l'attributo a cui è limitato la frequenza è specifico dell'applicazione, come un cookie o un token. L'utilizzo di un cookie legato a una sessione impedisce agli operatori di botnet di duplicare flussi di richieste simili su molti bot.
L'acquisizione di token viene comunemente utilizzata per l'identificazione dei clienti. Per l'acquisizione di token, un JavaScript codice raccoglie informazioni per generare un token che viene valutato sul lato server. La valutazione può variare dalla verifica che JavaScript sia in esecuzione sul client alla raccolta di informazioni sul dispositivo per il rilevamento delle impronte digitali. L'acquisizione di token richiede l'integrazione di un JavaScript SDK nel sito o nell'applicazione oppure richiede che un fornitore di servizi esegua l'iniezione in modo dinamico.
La richiesta di JavaScript supporto aggiunge un ulteriore ostacolo per i bot che tentano di emulare i browser. Quando è coinvolto un SDK, ad esempio in un'applicazione mobile, l'acquisizione di token verifica l'implementazione dell'SDK e impedisce ai bot di imitare le richieste dell'applicazione.
L'acquisizione di token richiede l'uso di elementi SDKs implementati sul lato client della connessione. Le seguenti AWS WAF funzionalità forniscono un SDK JavaScript basato su browser e un SDK basato su applicazioni per dispositivi mobili: [Bot Control, Fraud Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) [Account Takeover Prevention (ATP) e [Fraud Control per la creazione di account](https://docs.aws.amazon.com/waf/latest/developerguide/waf-acfp.html) (ACFP)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html).
Le tecniche per l'identificazione dei clienti includono CAPTCHA, profilazione del browser, impronta digitale del dispositivo e impronta digitale TLS.
## CAPTCHA
Il test di Turing pubblico completamente automatizzato per distinguere computer e umani ([CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha.html)) viene utilizzato per distinguere tra visitatori robotici e umani e per prevenire il web scraping, il furto di credenziali e lo spam. Esistono diverse implementazioni, ma spesso implicano un enigma che un essere umano può risolvere. CAPTCHAsoffrono un ulteriore livello di difesa contro i bot comuni e possono ridurre i falsi positivi nel rilevamento dei bot.
AWS WAF consente alle regole di eseguire un'azione CAPTCHA contro le richieste Web che soddisfano i criteri di ispezione di una regola. Questa azione è il risultato della valutazione delle informazioni di identificazione del cliente raccolte dal servizio. AWS WAF le regole possono richiedere la risoluzione dei problemi relativi al CAPTCHA per risorse specifiche che sono spesso prese di mira dai bot, come il login, la ricerca e l'invio di moduli. AWS WAF possono servire direttamente CAPTCHA tramite mezzi interstiziali o utilizzando un SDK per gestirlo sul lato client. [Per ulteriori informazioni, consulta CAPTCHA e Challenge in. AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge.html)
## Profilazione del browser
La *profilazione del browser* è un metodo di raccolta e valutazione delle caratteristiche del browser, nell'ambito dell'acquisizione di token, per distinguere gli esseri umani reali che utilizzano un browser interattivo dall'attività distribuita dei bot. È possibile eseguire la profilazione del browser in modo passivo tramite intestazioni, ordine delle intestazioni e altre caratteristiche delle richieste inerenti al funzionamento dei browser.
È inoltre possibile eseguire la profilazione del browser nel codice utilizzando l'acquisizione di token. Utilizzando JavaScript per la profilazione del browser, è possibile determinare rapidamente se un client supporta. JavaScript Questo ti aiuta a rilevare bot semplici che non lo supportano. La profilazione del browser non controlla solo le intestazioni HTTP e il JavaScript supporto; la profilazione del browser rende difficile per i bot emulare completamente un browser web. Entrambe le opzioni di profilazione del browser hanno lo stesso obiettivo: trovare modelli in un profilo del browser che indichino un'incoerenza con il comportamento di un browser reale.
AWS WAF il controllo dei bot mirati indica, nell'ambito della valutazione dei token, se un browser mostra segni di automazione o segnali incoerenti. AWS WAF contrassegna la richiesta per eseguire l'azione specificata nella regola. Per ulteriori informazioni, consulta [Rilevare e bloccare il traffico bot avanzato](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) nel AWS Security Blog.
## Impronta digitale del dispositivo
L'impronta digitale del dispositivo è simile alla profilazione del browser, ma non si limita ai browser. Il codice in esecuzione su un dispositivo (che può essere un dispositivo mobile o un browser Web) raccoglie e riporta i dettagli del dispositivo a un server di backend. I dettagli possono includere attributi di sistema, come memoria, tipo di CPU, tipo di kernel del sistema operativo (OS), versione del sistema operativo e virtualizzazione.
È possibile utilizzare l'impronta digitale del dispositivo per riconoscere se un bot sta emulando un ambiente o se vi sono segnali diretti che l'automazione è in uso. Oltre a ciò, l'impronta digitale del dispositivo può essere utilizzata anche per riconoscere le richieste ripetute dallo stesso dispositivo.
Il riconoscimento delle richieste ripetute dallo stesso dispositivo, anche se il dispositivo tenta di modificare alcune caratteristiche della richiesta, consente a un sistema di backend di imporre regole di limitazione della velocità. Le regole di limitazione della velocità basate sull'impronta digitale del dispositivo sono in genere più efficaci delle regole di limitazione della velocità basate sugli indirizzi IP. Questo ti aiuta a mitigare il traffico bot che ruota tra proxy VPNs o proxy ma proviene da un numero limitato di dispositivi.
Se utilizzato con l'integrazione delle applicazioni SDKs, il controllo tramite AWS WAF bot mirati può aggregare il comportamento delle richieste di sessione del client. Ciò consente di rilevare e separare le sessioni client legittime da quelle dannose, anche quando entrambe provengono dallo stesso indirizzo IP. Per ulteriori informazioni sul controllo dei AWS WAF bot mirati, consulta [Rilevare e bloccare il traffico bot avanzato](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) nel AWS Security Blog.
## Impronta digitale TLS
Il fingerprinting TLS, noto anche come *regole basate sulla firma,* viene comunemente utilizzato quando i bot provengono da molti indirizzi IP ma presentano caratteristiche simili. Quando si utilizza HTTPS, i lati client e server si scambiano messaggi per confermarsi e verificarsi a vicenda. Stabiliscono algoritmi crittografici e chiavi di sessione. Questo è chiamato handshake *TLS*. Il modo in cui viene implementato un handshake TLS è una firma spesso utile per riconoscere attacchi di grandi dimensioni distribuiti su molti indirizzi IP.
L'impronta digitale TLS consente ai server Web di determinare l'identità di un client Web con un elevato grado di precisione. Richiede solo i parametri della prima connessione a pacchetto, prima che avvenga lo scambio di dati dell'applicazione. In questo caso, il *client Web* si riferisce all'applicazione che avvia una richiesta, che potrebbe essere un browser, uno strumento CLI, uno script (bot), un'applicazione nativa o un altro client.
[Un approccio di impronta digitale SSL e TLS è l'impronta digitale. JA3 ](https://github.com/salesforce/ja3) JA3rileva le impronte digitali di una connessione client in base ai campi del messaggio Client Hello dell'handshake SSL o TLS. Ti aiuta a profilare client SSL e TLS specifici su diversi indirizzi IP di origine, porte e certificati X.509.
Amazon CloudFront supporta l'[aggiunta di JA3 intestazioni](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-cloudfront-headers.html) alle richieste. Un'`CloudFront-Viewer-JA3-Fingerprint`intestazione contiene un'impronta digitale hash a 32 caratteri del pacchetto TLS Client Hello di una richiesta di visualizzazione in entrata. L'impronta digitale incapsula le informazioni su come comunica il client. Queste informazioni possono essere utilizzate per profilare i clienti che condividono lo stesso modello. È possibile aggiungere l'`CloudFront-Viewer-JA3-Fingerprint`intestazione a una policy di richiesta di origine e allegare la politica a una CloudFront distribuzione. Puoi quindi controllare il valore dell'intestazione nelle applicazioni di origine o in Lambda @Edge and Functions. CloudFront Puoi confrontare il valore dell'intestazione con un elenco di impronte digitali di malware note per bloccare i client dannosi. Puoi anche confrontare il valore dell'intestazione con un elenco di impronte digitali previste per consentire le richieste solo da client noti.
# Controlli di analisi avanzati per la gestione dei bot
Alcuni bot utilizzano strumenti di inganno avanzati per eludere attivamente il rilevamento. Questi bot imitano il comportamento umano per svolgere un'attività specifica, come lo scalping. Questi bot hanno uno scopo e di solito è collegato a una grande ricompensa monetaria.
Questi bot avanzati e persistenti utilizzano un mix di tecnologie per eludere il rilevamento o confondersi con il traffico normale. A sua volta, ciò richiede anche una combinazione di diverse tecnologie di rilevamento per identificare e mitigare con precisione il traffico dannoso.
## Casi d'uso mirati
I dati relativi ai casi d'uso possono offrire opportunità di rilevamento dei bot. I *rilevamenti di frodi* sono casi d'uso speciali in cui è necessaria una mitigazione speciale. Ad esempio, per prevenire l'acquisizione di account, puoi confrontare un elenco di nomi utente e password di account compromessi con le richieste di accesso o di creazione di account. Ciò consente ai proprietari di siti Web di rilevare i tentativi di accesso che utilizzano credenziali compromesse. L'uso di credenziali compromesse può indicare che i bot stanno tentando di impadronirsi di un account, oppure potrebbe trattarsi di utenti che non sanno che le proprie credenziali sono state compromesse. In questo caso d'uso, i proprietari di siti Web possono adottare ulteriori misure per verificare l'utente e quindi aiutarlo a modificare la password. AWS WAF fornisce la regola gestita per la [prevenzione delle acquisizioni di account (ATP) di Fraud Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) per questo caso d'uso.
## Rilevamento di bot a livello di applicazione o aggregato
Alcuni casi d'uso richiedono la combinazione dei dati sulle richieste provenienti dalla rete di distribuzione dei contenuti (CDN) e dal backend dell'applicazione o del servizio. AWS WAF A volte, è persino necessario integrare l'intelligence di terze parti per poter prendere decisioni affidabili sui bot.
[Funziona in [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) e AWS WAF può inviare segnali all'infrastruttura di backend oppure può successivamente aggregare le regole tramite intestazioni ed etichette.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) CloudFront espone le intestazioni delle JA3 impronte digitali, come accennato in precedenza. Questo è un esempio di CloudFront fornitura di tali dati tramite un'intestazione. AWS WAF può inviare etichette quando corrisponde a una regola. Le regole successive possono utilizzare queste etichette per prendere decisioni migliori sui bot. Quando si combinano più regole, è possibile implementare controlli altamente granulari. Un caso d'uso comune consiste nell'abbinare parti di una regola gestita tramite un'etichetta e quindi combinarla con altri dati di richiesta. Per ulteriori informazioni, consulta [Esempi di abbinamento delle etichette](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-label-match-examples.html) nella AWS WAF documentazione.
## Analisi dell'apprendimento automatico
Il machine leaning (ML) è una tecnica potente per gestire i bot. L'apprendimento automatico può adattarsi ai cambiamenti dei dettagli e, se combinato con altri strumenti, offre il modo più affidabile e completo per mitigare i bot con un numero minimo di falsi positivi. *Le due tecniche di machine learning più comuni sono l'*analisi comportamentale* e il rilevamento delle anomalie.* Con l'analisi comportamentale, un sistema (nel client, nel server o in entrambi) monitora il modo in cui un utente interagisce con l'applicazione o il sito Web. Monitora i modelli di movimento del mouse o la frequenza delle interazioni con clic e tocco. Il comportamento viene quindi analizzato con un modello ML per riconoscere i bot. Il rilevamento delle anomalie è simile. Si concentra sul rilevamento di comportamenti o modelli significativamente diversi da una linea di base definita per l'applicazione o il sito Web.
AWS WAF i controlli mirati per i bot forniscono una tecnologia ML predittiva. Questa tecnologia aiuta a difendersi dagli attacchi distribuiti basati su proxy, realizzati da bot progettati per eludere il rilevamento. Il [gruppo di regole gestito di AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) utilizza l'analisi automatica e ML delle statistiche sul traffico del sito Web per rilevare comportamenti anomali indicativi di un'attività distribuita e coordinata dei bot.