Я не думаю, что какой-либо вендор расскажет вам в деталях, как устроена подобная защита. Мои предположения:
1) настраивается сбор статистики (количество GET/POST запросов в единицу времени, период времени между запросами, характеристики обхода графа ссылок и прочая)
2) натравливаем популярных ботов, собираем статистику
3) обучаем систему на живом трафике
4) учим систему классифицировать трафик, относится ли он к случаю 2) или 3)
5) ???
6) профит!
По поводу эффективности технологии - я не знаю, как ее померять. Зато знаю, что "нажать ссылку" - это довольно примитивная защита, капча и то лучше, полагаю. В случае массовой атаки на сервисы, защищенные капчей, как правило, используются сервисы типа "антикапча", которые стоят денег. То есть под внятную атаку нужен бюджет; есть ограничение по масштабируемости атаки. В случае защиты секретной ссылкой - нужно один раз научиться доставать ссылку (phantomJS и другие headless-решения), и размножить это метод по всем ботам. Насколько мне известно, ботов на основе phantomJS выявляют по тонким отличиям в реакции на субстандартные заголовки.
