Otomatik trafik artık çoğu açık web sitesinde insan trafiğine eşit ya da daha fazla. Scraper'lar içerik ve fiyat topluyor; credential-stuffing botları login endpoint'inizde çalınmış şifreleri deniyor; carding botları kart numaralarını ödemede doğruluyor; AI scraper'lar API'lerinizi dil modeli eğitmek için tarıyor. Trafik makul görünür: gerçek tarayıcı fingerprint'leri, residential IP'ler, insansı zamanlama. Ve bu kampanyaların maliyeti her yıl düşüyor.
Sektörün cevabı bot yönetimi platformları oldu; hemen hepsi cloud SaaS. Çalışmaları için trafiğinizin, fingerprint'lerinizin ve kararlarınızın kendi ağlarında yaşaması gerekir. Düzenlenmiş sektörler ya da egemen dağıtımlar için bu yapısal bir problem. Üstelik bu platformların çoğu kara kutu olarak çalışır: bir skor gelir, eylem alınır, ama operatör modelin gerçekte neyi tarttığını göremez.
TR7 farklı bir tavır alır. Bot savunması kendi platformunuzda çalışır; scoring motoru 11 isimli faktörü değerlendirir; operatör hangi sinyalin ne kadar etkili olduğunu görür. WAAP ve API güvenliğinde kullanılan aynı içerik-farkındalıklı kural motoru burada da geçerli; bir bot kuralı JSON body içindeki bir değere göre, tek satır script yazmadan eylem alabilir.
Tek tek alındığında her biri değerli. Birlikte alındığında, başkasının bulutuna bağımlı olmayan ve mantığını operatörden saklamayan bir bot savunmasının nasıl olması gerektiğini tanımlar.
Çoğu modern bot yönetimi platformu SaaS — fingerprint'leriniz, trafiğiniz ve sonuç kararları kendi ağlarında yaşar. TR7 kendi donanımınızda çalışır. Edge'inize gelen botlar sizin ağınız içinde skorlanır ve eylem alınır.
Bot skoru 11 isimli faktörü isimli ağırlıklarla birleştirir — TLS fingerprint'leri, 23 kategori IP reputation, istek ritmi, istek şekli, davranışsal baseline ve daha fazlası. Operatör hangi faktörlerin bir karara katkıda bulunduğunu görebilir, ağırlıkları tek tek ayarlayabilir ve bir bloku güvenlik denetiminde açıklayabilir. Sorgulanamayan bir model çıktısı yok.
WAAP ve API güvenliği için kullanılan aynı içerik-farkındalıklı kural motoru bot politikasına da uygulanır. Header değerleri, cookie içerikleri, URL parametreleri ve parse edilmiş JSON istek body'sinden değerler üzerinden rate-limit, challenge veya block. Örnek: body'deki 'action' alanı 'add_to_cart' iken kaynak IP davranışı scraper paternine uyduğunda throttle uygula. Hepsi görsel yapılandırma; script yok.
Bir sitenin login endpoint'i, aynı sitenin public-asset endpoint'inden farklı bir bot politikasına ihtiyaç duyar. Bot politikası vService'e bağlanır, böylece her uygulama yüzeyi gerçekten ihtiyaç duyduğu hassasiyeti alır. /login için bir kural seti, /api/v1/search için başka, /assets/* için başka.
Challenge edilen istekler, throttle edilen scraper'lar, düşürülen credential-stuffing denemeleri ve sessizce düşürülen carding botlarının hepsi bant genişliği sayacının dışındadır. Bot savunmanız ne kadar çok çalışırsa, throughput ile faturalanan bant genişliği arasındaki fark o kadar büyür.
Aşağıdaki her yetenek platformun parçası olarak gelir ve mevcut vService'lerinize bağlanır.
Düşük yanlış pozitif için ayarlanmış üstel scoring eğrisiyle birleştirilen isimli sinyaller — TLS fingerprint'leri, 23 kategori IP reputation, istek ritmi, istek şekli, davranışsal paternler, son hata oranları, oturum-oluşturma oranı ve daha fazlası. Operatör görebilir, ayarlayabilir ve açıklayabilir.
Kaynak IP'ler 23 kategoride sınıflandırılır — bilinen scraper'lar, residential proxy havuzları, datacenter aralıkları, Tor exit'leri, bilinen bot operatörleri ve diğerleri. Sınıflandırma skoru besler ve politikada doğrudan eylem konusu olabilir.
Scoring motoru zaman içinde uygulamanızın normal trafik paternlerini öğrenir. Anomaliler keyfi bir global eşiğe karşı değil, baseline'a karşı öne çıkar.
Karakteristik fingerprint'i olan bilinen bot aileleri için signature tabanlı tespit. Bilinmeyen botlar, kaçınmacı scraper'lar ve yavaş denemeler için davranış tabanlı tespit. İkisi de aynı scoring kararını besler.
Herhangi bir trafik özelliği üzerinden rate-limit, challenge veya block — header değerleri, cookie içerikleri, URL parametreleri, parse edilmiş JSON body değerleri. Görsel yapılandırma; tescilli script yok.
Politika başına eylem seçimi. Bariz kötü niyetli otomasyonu block et. Belirsiz trafiği CAPTCHA ile challenge et. Şüpheli scraper'ları doğrudan engellemeden throttle et. Credential stuffing trafiğini sessizce düşür ki saldırgan hangi kimlik bilgisinin çalıştığı hakkında faydalı geri bildirim almasın.
Login endpoint'lerindeki credential-stuffing paternleri, genel kötüye kullanıcı otomasyonundan ayrı olarak tanınır. Dağıtık low-and-slow denemeler, imkansız seyahat ve anormal oturum-oluşturma oranları sadece genel bot scoring altında değil, burada da yüzeye çıkar.
Her vService farklı bir bot politikası çalıştırabilir. Lisans kapasitesi dağıtım boyutuna kapsamlanır (1, 10, 100 vService ya da sınırsız).
Aynı scoring motoru ve kural mantığı TR7'nin erişim yönetimi katmanı içinde de çalışır. SSO portalları, login akışları, kimlik-farkındalıklı proxy'ler ve clientless gateway oturumları, açık WAAP-korumalı uygulamalarla aynı bot savunmasını alır — her yüzey için ayrı bir bot motoru kurmaya gerek yok.
B2B ve kurumsal erişim senaryolarında, kullanıcılar TR7'nin endpoint güvenliği katmanı tarafından yönetilen cihazlardan bağlandığında, cihaz-güven sinyalleri — bilinen cihaz, güncel posture, uyumluluk durumu — bot scoring motorunu ek ağırlıklı faktör olarak besler.
Eğitim verisi için tarama yapan AI scraper'ların karakteristik paternleri vardır — yüksek hacimli sıralı dolaşma, atipik user-agent string'leri, sıra dışı API çağrı şekilleri. Davranışsal motor bu paternleri tanır; politika kullanım senaryosuna göre izin/throttle/block karar verir.
Bot sinyalleri WAAP kurallarını ve L7 DDoS eşiklerini besler; WAAP ve DDoS sinyalleri bot scoring'i besler. Bir uygulama yüzeyini suistimal ettiği görülen bir kaynak, diğer her yüzeyde skoru anında yükselir.
Bot signature kütüphanesi ve IP reputation feed'leri sürekli güncellenir — manuel indirme döngüsü yok, site başına versiyon farkı yok.
Bot tespitleri WAAP'in geri kalanıyla aynı güvenlik taksonomisine eşlenir — CWE kodları, CAPEC paternleri, MITRE ATT&CK teknikleri. SIEM korelasyonu ve olay müdahalesi aynı dili konuşur.
Her bot kararı katkıda bulunan sinyal dökümüyle loglanır — hangi faktör ne kadar ağırlıkta, skor neden o noktada. Araştırma ve ayar, WAAP ve teslimle aynı konsolda yapılır.
Bot trafiği tek bir şey değil. TR7 Bot Yönetimi, web uygulamalarını ve API'leri hedefleyen modern otomasyon spektrumunu kapsar.
İçeriği, fiyatları, ürün kataloglarını, listeleri veya diğer açık veriyi ölçekte toplayan botlar. İstek ritmi, IP reputation, davranışsal baseline drift ve karakteristik istek şekilleriyle tespit edilir.
Login endpoint'lerinde çalınmış kullanıcı adı/şifre çiftlerini deneyen botlar. ATO tespiti ve endpoint başına politika, tek-IP rate limit'in kaçırdığı dağıtık credential-stuffing kampanyalarını tanır ve durdurur.
Ödeme endpoint'lerinde çalınmış kart numaralarını doğrulayan botlar. Ödeme API'lerine karşı karakteristik istek ritmi ve anormal başarısızlık-başarı oranlarıyla tanınır.
Ürün listelerini, açıklamaları, yorumları ve fiyatlandırma verisini kopyalayan otomatik rakipler. Davranışsal baseline, hızlı ve yavaş istek oranlarını değiştirerek insan hızını taklit eden scraper'ları yakalar.
İzin alınmamış olarak dil modeli eğitmek için içerik toplayan crawler'lar. Yüksek hacimli sıralı dolaşma paternleri ve atipik istemci imzalarıyla tanınır; politika kullanım senaryosuna göre izin/throttle/block karar verir.
Sahte kayıt, yorum spamı, sahte değerlendirme ve kötüye kullanıcı form gönderimleri yapan botlar. Bot scoring ve form-body şekli üzerinde içerik-farkındalıklı kurallarla birleşik tespit.
Uygulama katmanı DDoS olarak hareket eden yüksek hacimli bot trafiği — credential-stuffing dalgaları, scraper çiftlikleri, koordineli IoT botnet flood'ları. Bot sinyalleri L7 DDoS katmanını birleşik mitigation için besler.
Uygulamayı bilinen CVE'ler, açıkta admin endpoint'leri, varsayılan kimlik bilgileri ve yanlış yapılandırılmış servisler için yoklayan botlar. Bot sinyalleri ve WAAP signature motoruyla birleşik tespit.
Gerçek alışverişçiler flash sale'de sıçrar; carding botları sıçramaya saklanmaya çalışır. vService başına politika, davranışsal baseline ve içerik-farkındalıklı kurallar; gerçek müşterileri engellemeden credential-stuffer'ları ve carding botlarını ayırt eder.
Sürekli credential-stuffing baskısı altındaki login endpoint'leri. ATO tespiti, tek-IP rate limit'in kaçırdığı dağıtık low-and-slow denemeleri tanır; CAPTCHA challenge her meşru kullanıcıya değil, seçici olarak uygulanır.
Makaleler, videolar ve görsel kütüphaneler rakipler ve AI eğitim scraper'ları tarafından taranır. Davranışsal baseline, insan hızını taklit eden scraper'ları yakalar; politika scraper'ların engellenmesini, throttle edilmesini veya lisanslı izin verilmesini belirler.
Scraping, credential testi ve kaynak kötüye kullanımına tabi API endpoint'leri. Endpoint başına bot politikası ve içerik-farkındalıklı kural motoru, meşru API tüketicilerini etkilemeden kötüye kullanımı yönetir.
Otomatik form-kötüye kullanım ve bot-kaynaklı dolandırıcılık tarafından hedeflenen kamu hizmetleri. On-prem dağıtım, vatandaş-veri akışlarını kendi ağınızda tutar; denetim loglaması soruşturmayı destekler.
B2B kullanıcılar endpoint güvenliği katmanınız tarafından yönetilen cihazlardan eriştiğinde, cihaz-güven sinyalleri bot skorunu besler — bilinen yönetilen cihaz + iyi posture şüpheyi azaltır. Yönetilmemiş endpoint'lerden gelen botlar hâlâ tam inceleme alır.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
Girişte kazanılan güven sonsuza dek taşınmaz. Her oturum, her adımda değerlendirme altında kalır.
Anlık blok yerine davranışı izleyin; eşiği aşan kaynağı süreli karantinaya alıp otomatik serbest bırakın.
3000+ kural, OWASP / API Top 10 / CWE taksonomisi, 14 korelasyon ekseni, per-host-group + cross-group rollup.
Üreten de, gösteren de, doğrulayan da ADC'nin içinde. Üçüncü taraf buluta tek çağrı yok.
Credential stuffing, brute-force ve oturum çalma girişimlerini tek sinyale değil, birleşik risk kararına göre durdurun.
Tek IP, tek hesap, tek API anahtarı — hangi boyutta sınırlandıracağınıza siz karar verin.
Üç kademeli sürtünme — uyar, challenge, kilitle — IP, kullanıcı adı veya ikisi birden. Self-hosted CAPTCHA, harici bulut yok.
Session ID üretiminden cookie güvenliğine, IP+UA bind kontrolünden idle ve absolute timeout yönetimine kadar oturumu tek policy graph altında koruyun.
TR7 Bot Yönetimi için canlı demo talep edin. Gerçek trafik üzerinde scoring çalıştırır, 11 faktörü gezdirir ve içerik-farkındalıklı kuralların JSON body değerleri üzerinde script yazmadan nasıl çalıştığını gösteririz.