Anomaliyalar və korrelyasiyaların təhlili

1) Niyə iGaming

• Erkən sapmaları aşkar edir (KPI və gəlir hesabatlarda azalmadan əvvəl).
• Fəsadları mövsümlükdən/səhmlərdən/turnirlərdən fərqləndirir.
• «Simptomların müalicəsi» əvəzinə ilkin səbəbləri (RCA) tapır.
• PII paylamadan gizlilik və etikaya (RG/AML) riayət edir.

2) Anomaliyaların tipologiyası

Nöqtə (point): vahid pik/uğursuzluq (məsələn, PSP səhvlərinin spike).
Serial (collective): tipik olmayan dəyərlərin ardıcıllığı (uzun deqradasiya).
Kontekst (contextual): normal gecə, anormal gündüz (kontekstdən asılıdır: saat/ölkə/kanal).
Modun/trendin dəyişməsi (change-point): səviyyə, dispersiya, mövsümilik kəskin şəkildə dəyişdi.
Struktur: boşluqların/dublikatların artması, schema drift.
Səbəb: qonşu qovşağın (PSP/provayder) dəyişməsi bizim sıramızı «sındırdı».

3) Məlumat və kontekstin hazırlanması

Təqvim və mövsümlük: həftə sonu/tətil/turnir/aksiyalar → fərdi baza xətləri.
Aqreqasiya qatları: 1-dəq/5-dəq/saat, ölkə/marka/provayder/cihaz.
Normallaşma: per-capita (oyunçu/seans), günün vaxtı, FX.
Vaxt Fiçləri: rolling mean/std, EWMA, lagi, həftə günü, «cut-off dəqiqə».
Keyfiyyət: gecikmiş hadisələri/dublikatları süzün, timezone səhvlərini aradan qaldırın.

4) Deteksiya üsulları (sadədən hibridə)

Statistika və zaman sıraları

Robust z-score (media/IQR), EWMA, STL-dekompozisiya (trend/seasonal/remain).
CUSUM/ADWIN - orta/dispersiyanın dəyişməsinə həssasdır.
Change-points (məsələn, PELT/BOCPD): rejim dəyişmə nöqtələrini qeyd edirik.
Prophet/ETS - proqnoz + etibarlı dəhliz → interval xaricində emissiyalar.

Çox ölçülü/sıxlıq

Isolation Forest, LOF, One-Class SVM - bir çox əlamətlər (PSP, geo, kanal, cihaz) olduqda.
Mürəkkəb nümunələr üçün Autoencoder (rekonstruksiya/səhv).

Onlayn axınlar

Sürüşmə pəncərələri, kvantil eskizləri, EWMA + histerezis; watermarks və late data uçotu.
«Dual-thresholds» (anomaliyadan giriş/çıxış).

Hibrid

Domain qaydaları (SLO-şüurlu) + statistika/ML → daha yüksək dəqiqlik və açıqlanabilirlik.

5) Deteksiya keyfiyyəti: necə ölçmək olar

Precision/Recall/F1 hadisələr haqqında məlumat.
ATTD (Detect üçün Average Time) və TTR (normallaşmadan əvvəl vaxt).
Duration bias: «yanıb-sönən» üçün cəza (tez-tez giriş/anomaliyadan çıxış).
Ex-post biznes metrikası: «Nə qədər raund/depozit xilas etdi», «Nə qədər P1 qarşısını aldı».
Stabillik: yatırılmış saxta narahatlıqların payı; p95 «sakit gecələr».

6) Korrelyasiya, səbəb və tələ

Korrelyasiya ≠ səbəblilik: ümumi sürücü (promosyon/xarici down) hər iki metrik «apara» bilər.
Partial correlation (şərti), Mutual Information (MI) - rabitə qeyri-xətti olduqda.
Granger causality - bir sıra digərini proqnozlaşdırmağa kömək edir.
DAG/causal discovery (proqnozlaşdırılan yoxlama ilə) - təsir istiqaməti haqqında fərziyyələr.
Simpson 's paradox: aqreqatlar stratifikasiya olmadan «yalan» (ölkə/kanal/cihaz).
Leakage: Gələcək məlumatları ehtiva edən əlamətlər saxta səbəblər verir.

7) Root-Cause Analysis (RCA)

Qraf asılılığı: oyun provayderləri → lobbi → bahislər → ödənişlər/PSP → KPI.
Ölçmələrə görə skan: kim «qırıldı»? (ölkə, marka, provayder, ödəniş metodu, OS).
Kontrast qrupları: harada bir anomaliya var/yox → nisbi risk/odds ratio.
Anomaliyaların çoxölçülü modelləri üçün Shapley/Feature attribution.
«Nə varsa» ssenariləri: şübhəli seqmenti söndürün - KPI bərpa olunur?

8) Səs-küyün azaldılması və prioritetləşdirilməsi

Histeresis: «5 pəncərədən 3-ü pozuldu» təsdiq üçün.
Dinamik eşiklər: baseline ± k· σ, kvantil 5/95, mövsümi profillər.
Qruplaşma: oyunlar üzrə 300 alert əvəzinə «provayder A» başına bir hadisə.
SLO-şüur: yalnız SLO/biznes həddi təsir edərsə alertim.
Supressions: Bir labels dəsti üçün T dəqiqə maksimum N alert.

9) konveyer: online və oflayn

Online: Flink/Spark Streaming/CEP - dəqiqə pəncərələri, watermarks, deduplikasiya, idempotentlik.
Oflayn: tarix ili üçün backtestlər, «sintetik» hadisələrin injeksiyası, namizədlərin müqayisəsi.
ModelOps: qaydaların/modellərin versiyası (MAJOR/MINOR/PATCH), qaydalar üçün shadow/canary və rollback.

10) Gizlilik, etika, uyğunluq

Zero-PII fich və alertlərdə; identifikatorların əvəzinə tokenlər.
RG/AML: ayrı kanallar və girişlər; redaction mətn.
Bias: həssas ölçmələri yoxlayın (ölkə/üsul/cihaz) - anomaliyanı ayrı-seçkiliyə çevirməyin.
Legal Hold/DSAR: Deteksiya/həllər tarixinin saxlanması - WORM-log.

11) iGaming Cases (Hazır şablonlar)

Ödənişlər/PSP

Deteksiya: 'success _ rate _ deposits _ 5m ↓' aşağıda baseline_28d 3 σ, təsdiq 3/5 pəncərə → P1.
RCA: kəsmə 'psp, country, method'; növbələrin/retrajların yoxlanılması.

Oyun provayderləri

Deteksiya: 'rounds _ per _ min' provayder A <60% rolling_quantile (0. 1) üçün 28d → P1.
Fəaliyyət: A oyun tails gizlətmək, provayder xəbərdarlıq, lobbi keçid.

RG

Deteksiya: 'high _ risk _ share' ↑ na> 3 p.p. 10 dəqiqə brenddə B → P2.
RCA: kampaniyalar/bonuslar, yeni cihazların artması, geo-keçid.

Antifrod

Deteksiya: 'chargeback _ rate _ 60m> μ + 3 σ' I 'new _ device _ share ↑' → P1.
Fəaliyyət: skorinq/çıxarış limitlərini sərtləşdirin.

12) Artefaktlar və şablonlar

12. 1 YAML qaydaları (onlayn)

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12. 2 Offline backtest

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12. 3 RCA hadisəsinin pasportu

Hadisə: drop rounds @ provider A

Müddət: 2025-11-01 18: 10-18: 35 (Avropa/Kiyev)

Root-node: `games. engine. provider_A` (change-point @18:12)

Аффект: `lobby_clicks ↓`, `rounds_per_min ↓ 45%`, `GGR/min ↓ 28%`

Əks arqumentlər: payments OK, PSP OK, FX/stats normal

Fəaliyyət: hide tiles, əlaqə provayder, status banner

Nəticə: bərpa @ 18:34; X tərəfindən qarşısı alınan itkilər

13) Proses müvəffəqiyyətinin metrikası

Precision/Recall/F1 hadisələri P1/P2 (domen sahibləri tərəfindən işarələnmə).
ATTD/MTTR dəqiqə (mediana/p90).
Noise ↓: − X% «saxta gecə» həyəcan, ≤ Y alerts/smena.
RCA-time: zamanın medianı.
Business saved: saxlanan depozitlərin/raundların qiymətləndirilməsi.
Coverage: ≥ 95% nəzarət altında kritik yollar.

14) Proseslər və RACI

Domain Owners (R) - qaydalar/əsas xətlər/hadisələrin işarələnməsi.
Data Platform/Observability (R) - deteksiya, saxlama, SLO mühərriki.
ML Lead (R) - anomaliyalar, kalibrləmə, fairness modelləri.
SRE/SecOps (R) - SOAR/PagerDuty ilə inteqrasiya, insidentlər.
CDO/DPO (A) - məxfilik/etika siyasəti, Zero-PII.
Product/Finance (C) - SLO həddi və biznes prioritetləri.

15) Tətbiqi yol xəritəsi

0-30 gün (MVP)

1. Kritik yollar: payments, game_rounds, freshness ingest.
2. Saat/gün və əsas ölçmələr üzrə əsas xətlər (ölkə/marka/psp/provayder).
3. Sadə detektorlar: EWMA/robust z-score + histerezis.
4. Kanallar alert və 3 runbook 'a (ödənişlər/oyunlar/DQ).
5. 3-6 aylıq hekayələr; hadisələrin işarələnməsi.

30-90 gün

1. Change-points, seasonal quantiles, multimodal sıralar.
2. Isolation Forest/LOF çoxölçülü hallar üçün; shadow rejimi.
3. RCA-qraf asılılığı və yarı avtomatik atributlaşdırma.
4. SLO-şüurlu eşiklər; suppression/grouping; avtomatik doldurma biletləri.

3-6 ay

1. Champion-Challenger qaydaları/modelləri; astanaları avto-tuning.
2. Xarici inteqrasiyalar (provayderlər/PSP) imzalanmış vebhuklarla.
3. Hesabatlar «MTTR/gəlirə alert töhfəsi»; rüblük gigiyena sessiyaları.
4. Mübahisəli korrelyasiya üçün Causal təcrübələri (A/B, Granger, instrumental dəyişənlər).

16) Anti-nümunələr

Bütün ölkələr/saatlar/kanallar üçün ümumi olan göz astanası.
İqnor mövsümilik/səhmlər → «fırtına» saxta alertlər.
Heç bir backtest və hadisələrin işarələnməsi - optimallaşdıracaq bir şey yoxdur.
Stratifikasiya/partial corr → yanlış səbəblər olmadan korrelyasiya təqibi.
PII ilə loqlar/alertlər, ümumi kanallarda skrinşotlar.
«Əbədi» qaydalar yoxlama və sahibi olmadan.

17) Əlaqəli bölmələr

Data Stream Alerts, DataOps-Practices, API analitikası və metrik, Audit və versiyası, MLOps: model istismarı, Access Control, Təhlükəsizlik və şifrələmə, Data Depolama Siyasəti, Qərəzliliyin azaldılması.

Yekun

Anomaliyalar və korrelyasiyaların təhlili «ML sehri» deyil, mühəndislik sistemidir: düzgün kontekst və mövsümlük, qaydalar və modellərin hibrid, ciddi keyfiyyət metrikası və RCA tərəfindən idarə olunur. iGaming-də belə bir sistem MTTR-ni azaldır, gəliri qoruyur və oyunçuların və tənzimləyicilərin etibarını qoruyur - məxfiliyi pozmadan.