异常和相关性分析

1）为什么是iGaming

• 及早发现偏差（在KPI和收入在报告中下降之前）。
• 将中断与季节性/股票/锦标赛区分开来。
• 找到根本原因（RCA）而不是"症状治疗"。
• 遵守隐私和道德（RG/AML）而不分发PII。

2）异常类型学

点点（point）：单位峰值/失败（例如,spike PSP错误）。
序列（集体）：一系列非典型值（长期降解）。
上下文（contextual）：夜间正常,白天异常（取决于上下文：小时/国家/频道）。
模式/趋势（变化点）变化：水平，方差，季节性发生了巨大变化。
结构：跳过/重复激增，计划漂移。
因果关系：相邻节点（PSP/提供商）的变化"扭转"了我们的行。

3）数据生成和上下文

日历和季节性：周末/假日/锦标赛/促销→单独的基线。
聚合层：1分钟/5分钟/小时，国家/品牌/提供商/设备。
正常化：每个播放器/会话,每天时间,FX。
时间Fichi： rolling mean/std, EWMA, lagi, week day,"分钟到切断"。
质量：过滤迟到的事件/复制,消除时间区错误。

4）检测方法（从简单到溷合）

统计和时间序列

Robust z分数（中位/IQR），EWMA，STL分解（趋势/seasonal/remain）。
CUSUM/ADWIN-对均值/方差偏移敏感。
更改点（例如PELT/BOCPD）：捕获模式更改点。
Prophet/ETS-预测+信托走廊→间隔外的排放。

多维/致密性

Isolation Forest, LOF, One-Class SVM-当有很多特征（PSP、地理、通道、设备）时。
用于复杂模式的Autoencoder（重建/错误）。

在线流

滑动窗户，量子草图，EWMA+滞后；水厂核算和长期数据。
"Dual-thresholds"（进入或退出异常）以抑制钻探。

溷合动力车

域规则（SLO意识）+统计/ML →以上准确性和可解释性。

5）检测质量： 如何测量

Precision/Recall/F1标记事件。
ATTD （Average Time To Detect）和TTR（正常化前的时间）。
Duration bias："闪烁"的处罚（频繁进入/退出异常）。

后期业务指标： "节省了多少回合/存款"，"防止了多少P1。"

稳定性：抑制虚假警报的比例；p95"安静的夜晚"。

6）相关性，因果关系和陷阱

相关性≠因果关系：通用驱动程序（促销/外部下降）可以"领先"两个指标。
Partial correlation（条件），Mutual Information（MI）-当键是非线性的。
Granger causality（时间因果关系）-一行有助于预测另一行。
DAG/causal发现（带有预测验证）是影响方向的假设。
Simpson's paradox：无分层的"撒谎"聚集（国家/频道/设备）。
泄漏：包含未来信息的特征提供了错误的原因。

7) Root-Cause Analysis (RCA)

成瘾图：游戏提供商→游说团体→投注→ 付款/PSP → KPI。
Scan在测量上：谁"崩溃了"？（国家、品牌、供应商、支付方法、操作系统）。
对比组：异常在哪里/不存在→相对风险/赔率。
用于多维异常模型的Shapley/Feature属性。
如果有的话：禁用可疑细分-KPI是否恢复？

8）降噪和优先级

磁滞："5个窗口中有3个受损"供确认。
动态阈值：基线± k· σ，quantil 5/95，季节概况。
分组：每个游戏"提供商A"发生一起事件，而不是300个警报。
SLO正念：只有在SLO/业务阈值受到影响时才会出现异常。
高压：每个标签集最多T分钟的N级。

9）流水线： 在线和离线

在线：Flink/Spark Streaming/CEP-分钟窗口,watermarks,重复数据消除,等效性。
离线：历史年后盾，注入"合成"事件，候选人比较。
ModelOps：规则/模型（MAJOR/MINOR/PATCH）、影子/金丝雀和规则滚回。

10）隐私，道德，合规性

Fish和Alert中的Zero-PII；代币而不是标识符。
RG/AML：单独的频道和访问；文本的干扰。
Bias：检查敏感测量（国家/方法/设备）上的散布-不要将异常变成歧视。
Legal Hold/DSAR：存储检测/解决方桉历史记录-WORM日志。

11） iGaming Cases（现成的模板）

付款/PSP

检测："success_rate_deposits_5m ↓"下方baseline_28d 3 σ，确认3/5窗口→ P1。
RCA："psp，country，method"切口；检查队列/转发。

游戏提供商

检测：提供商A的'rounds_per_min' <60%（0.1）28d → P1。
行动：隐藏游戏时间A，通知提供商，切换大厅。

RG

检测："high_risk_share"在B → P2品牌10分钟内↑> 3个百分点。
RCA：活动/奖金，新设备的激增，地理转变。

Antifrod

检测：'chargeback_rate_60 m> μ+3 σ 'Y'new_device_share ↑ '→ P1。
行动：收紧得分/退出限制。

12）工件和模板

12.1 YAML规则（在线）

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12.2 Config离线备用

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12.3 RCA事件护照

事件： drop rounds@provider A

时期： 2025-11-01 18：10-18：35（Europe/Kyiv）

Root-node: `games.engine.provider_A` (change-point @18:12)

Аффект: `lobby_clicks ↓`, `rounds_per_min ↓ 45%`, `GGR/min ↓ 28%`

对立面： payments OK, PSP OK, FX/stats normal

活动： hide tiles,提供商联系人,状态标语

结果： 恢复@18：34；X防止损失

13）流程成功度量

Precision/Recall/F1事件P1/P2（域所有者标记）。
ATTD/MTTR在分钟内（中位/p90）。
Noise↓：− X％的"假夜间"警报，≤ Y变量/变量。
RCA时间：根本原因的时间中位数。
业务保存：保留存款/回合估值。
Coverage：≥ 95%的关键路径受到监视。

14）流程和RACI

域所有者（R）-规则/基线/事件标记。
Data Platform/Observability（R）是检测，存储，SLO引擎。
ML Lead（R）-异常模型，校准，公平。
SRE/SecOps（R）-与SOAR/PagerDuty，事件集成。
CDO/DPO（A）是隐私/道德政策Zero-PII。
产品/财务（C）-SLO阈值和业务优先级。

15）实施路线图

0-30天（MVP）

1.关键途径：payments，game_rounds，freshness ingest。
2.按小时/日和关键维度（国家/品牌/psp/提供商）排列的基线。
3.简单检测器：EWMA/robust z-score+磁滞。
4.Alerts频道和3个运行手册'a（付款/游戏/DQ）。
5.历史上3-6个月的后援；事件标记。

30-90天

1.改变点，季节quantiles，多模式行。
2.分离森林/多维案例的LOF；影子模式。
3.依赖性RCA图和半自动归因。
4.SLO意识阈值；suppression/grouping;自动填充的滴答声。

3-6个月

1.Champion-Challenger规则/模型；自动调谐阈值。
2.带有签名网络包的外部集成（提供商/PSP）。
3.报告"Alert对MTTR/收益的贡献"；季度卫生会议。
4.有争议的相关性的Causal实验（A/B，Granger，工具变量）。

16）反模式

所有国家/时钟/频道通用的每眼阈值。
忽略季节性/股票→虚假的Alert的"风暴"。
没有事件备份和标记-没有什么可以优化。
追求没有分层/分组角度的相关性→虚假原因。
带有PII的Logi/Alerta，共享频道中的屏幕截图。
"永恒"规则没有修订和所有者。

17）相关部分

来自数据流、DataOps实践、API分析和指标、Audit and Version, MLOps：模型操作、访问控制、安全和加密、存储策略、减少偏见。

底线

异常和相关性分析不是"ML魔力"，而是工程系统：正确的上下文和季节性，规则和模型的混合体，严格的质量指标以及RCA驱动。在iGaming中，这样的系统降低了MTTR，保护了收入，并保持了玩家和监管机构的信任-没有侵犯隐私。