Ανάλυση ανωμαλιών και συσχετισμών

1) Γιατί είναι iGaming

• Εντοπίζει τις διαφορές νωρίς (πριν από την πτώση των εκθέσεων των ΚΔΕ και των εσόδων).
• Διακρίνει τις αποτυχίες από την εποχικότητα/προαγωγές/τουρνουά.
• Βρίσκει βαθύτερα αίτια (RCA) αντί για «θεραπευτικά συμπτώματα».
• Σέβεται την ιδιωτική ζωή και τη δεοντολογία (RG/AML) χωρίς να παραχωρεί PII.

2) Τυπολογία ανωμαλίας

Σημείο: εφάπαξ κορυφή/βουτιά (π.χ. σφάλματα αιχμής PSP).
συλλογική: αλληλουχία άτυπων τιμών (μακρά αποικοδόμηση).
πλαίσιο: κανονικό τη νύχτα, μη φυσιολογικό κατά τη διάρκεια της ημέρας (ανάλογα με το πλαίσιο: ώρα/χώρα/κανάλι).
Αλλαγή τρόπου/τάσης (σημείο αλλαγής): επίπεδο, διακύμανση, εποχικότητα έχουν αλλάξει δραματικά.
Δομική δομή: ακίδα σε παραλείψεις/αντίγραφα, μετατόπιση σχήματος.
Αιτία και αποτέλεσμα: αλλαγή του γειτονικού κόμβου (PSP/πάροχος) «γύρισε» τη σειρά μας.

3) Προετοιμασία και πλαίσιο δεδομένων

Ημερολόγιο και εποχικότητα: Σαββατοκύριακα/διακοπές/τουρνουά/προαγωγές → μεμονωμένες γραμμές βάσης.
Στρώματα συγκέντρωσης: 1-min/5-min/ώρα, ανά χώρα/εμπορικό σήμα/πάροχο/συσκευή.
Κανονικοποίηση: κατά κεφαλή (ανά παίκτη/συνεδρία), κατά την ώρα της ημέρας, από FX.
Χρονικά χαρακτηριστικά: μέσος όρος κύλισης/std, EWMA, υστερήσεις, ημέρα της εβδομάδας, «λεπτά για διακοπή».
Ποιότητα: φίλτρο καθυστερημένων γεγονότων/αντιγράφων, εξάλειψη σφαλμάτων χρονικής ζώνης.

4) Μέθοδοι ανίχνευσης (απλές στο υβριδικό)

Στατιστικές και χρονολογικές σειρές

Στιβαρή βαθμολογία z (διάμεση τιμή/IQR), EWMA, STL- αποσύνθεση (τάση/εποχική/παραμένουν).
CUSUM/ADWIN - ευαίσθητο στη μέση/μετατόπιση διασποράς.
Σημεία αλλαγής (π.χ. PELT/BOCPD): καθορίστε τα σημεία αλλαγής τρόπου λειτουργίας.
Προφήτης/ΣΕΔΕ - πρόβλεψη + διάδρομος εμπιστοσύνης → εκπομπές εκτός του διαστήματος.

Πολυδιάστατη/πυκνότητα

Δάσος απομόνωσης, LOF, SVM μιας κατηγορίας - όταν υπάρχουν πολλά σημεία (PSP, geo, κανάλι, συσκευή).
Αυτόματος κωδικοποιητής (ανακατασκευή/σφάλμα) για πολύπλοκα πρότυπα.

Ροές σε απευθείας σύνδεση

Συρόμενα παράθυρα, κβαντικά σχέδια, EWMA + υστερία. λογιστική καταγραφή των υδατογραφημάτων και των καθυστερημένων δεδομένων.
«Διπλά κατώτατα όρια» για την καταστολή της αναπήδησης.

Υβριδικό

Κανόνες πεδίου (SLO-συνείδηση) + στατιστικές/ML → μεγαλύτερη ακρίβεια και επεξήγηση.

5) Ποιότητα ανίχνευσης: τρόπος μέτρησης

για σημαντικά περιστατικά.
ATTD (μέσος χρόνος ανίχνευσης) και TTR (χρόνος κανονικοποίησης).
Προκατάληψη διάρκειας: ποινή για «αναβοσβήνει» (συχνές εισροές/εκροές από ανωμαλία).
Εκ των υστέρων επιχειρηματικές μετρήσεις: «πόσοι γύροι/καταθέσεις εξοικονομήθηκαν», «πόσοι P1s αποτραπεί».
Σταθερότητα: το ποσοστό των κατεσταλμένων ψευδών συναγερμών· p95 «ήσυχες νύχτες».

6) Συσχέτιση, αιτιώδης συνάφεια και παγίδες

Συσχέτιση αιτιώδους συνάφειας: ένας κοινός οδηγός (απόθεμα/εξωτερικό κάτω) μπορεί να «οδηγήσει» και τις δύο μετρήσεις.
Μερική συσχέτιση (υπό όρους), αμοιβαία πληροφόρηση (MI) - όταν οι σύνδεσμοι είναι μη γραμμικοί.
Γκρέιντζερ αιτιότητα - η μία σειρά βοηθά στην πρόβλεψη της άλλης.
DAG/αιτιώδης ανακάλυψη - υποθέσεις σχετικά με την κατεύθυνση της επιρροής.
Παράδοξο του Simpson: συγκεντρωτικά στοιχεία «ψεύδονται» χωρίς διαστρωμάτωση (χώρα/κανάλι/συσκευή).
Διαρροή: οι ενδείξεις που περιέχουν μελλοντικές πληροφορίες παρέχουν ψευδείς λόγους.

7) Ανάλυση ριζικής αιτίας (RCA)

Γράφημα εξάρτησης: πάροχοι παιχνιδιών → λόμπι → στοιχήματα → πληρωμές/PSP → KPI.
Σάρωση μέτρησης: Ποιος 'έσπασε' (χώρα, εμπορικό σήμα, πάροχος, μέθοδος πληρωμής, πάγιο περιουσιακό στοιχείο).
Ομάδες αντίθεσης: όπου υπάρχει λόγος ανωμαλίας/μη σχετικού κινδύνου/πιθανοτήτων.
Απόδοση Shapley/Χαρακτηριστικό για μοντέλα ανωμαλίας πολλαπλών μεταβλητών.

Τι-αν σενάρια: Απενεργοποίηση του ύποπτου τμήματος - αποκαθίσταται ο KPI

8) Μείωση του θορύβου και ιεράρχηση προτεραιοτήτων

Υστερία: «3 από τα 5 παράθυρα σπασμένα» για επιβεβαίωση.
Δυναμικά όρια: γραμμή βάσης ± k· σ, ποσοτικά 5/95, εποχιακά προφίλ.
Ομαδοποίηση: ένα περιστατικό ανά «πάροχο Α» αντί για 300 ειδοποιήσεις ανά παιχνίδι.
Ευαισθητοποίηση SLO: ειδοποίηση μόνο εάν επηρεάζεται το όριο SLO/επιχείρησης.
Καταστολή: N προειδοποιήσεις σε μέγιστο T λεπτά ανά σετ ετικέτας.

9) Μεταφορέας: online και offline

Σε απευθείας σύνδεση: Flink/Spark Streaming/CEP - λεπτά παράθυρα, υδατογραφήματα, αφαίρεση, ταυτότητα.
Offline: backtests για το έτος της ιστορίας, ένεση «συνθετικών» συμβάντων, σύγκριση υποψηφίων.
ModelOps: κανόνας/μοντέλο έκδοσης (MAJOR/MINOR/PATCH), σκιά/καναρίνι, και rollback για κανόνες.

10) Προστασία της ιδιωτικής ζωής, δεοντολογία, συμμόρφωση

Zero-PII σε δελτία και καταχωρίσεις· μάρκες αντί για αναγνωριστικά.
RG/AML: μεμονωμένα κανάλια και πρόσβαση· Κείμενο επαναδιαπραγμάτευσης.
Προκατάληψη: Έλεγχος της διακύμανσης των ευαίσθητων μετρήσεων (χώρα/μέθοδος/διάταξη) - μην μετατρέπετε την ανωμαλία σε διάκριση.
Νομικό υπόστεγο/DSAR: αποθήκευση ιστορικού ανιχνεύσεων/αποφάσεων - ημερολόγιο WORM.

11) Περιπτώσεις iGaming (έτοιμα υποδείγματα)

Πληρωμές/ΠΥΠ

Ανίχνευση: 'success _ rate _ deposits _ 5m ↓' κάτω baseline_28d από 3 σ, επιβεβαίωση 3/5 παραθύρων → P1.
RCA: τμήμα «psp, χώρα, μέθοδος», έλεγχος ουράς/ρετιρέ.

πάροχοι τυχερών παιχνιδιών

Ανίχνευση: 'rounds _ per _ min' του παρόχου Α <60% του rolling_quantile (0. 1) για 28δ → Ρ1.
Δράση: απόκρυψη πλακιδίων παιχνιδιού Α, ειδοποίηση παρόχου, αλλαγή λόμπι.

RG

Ανίχνευση: 'high _ risk _ share' ↑ κατά> 3 pp σε 10 λεπτά στο εμπορικό σήμα B → P2.
RCA: εκστρατείες/bonus, αύξηση νέων συσκευών, geo-shift.

Καταπολέμηση της απάτης

Ανίχνευση: 'chargeback _ rate _ 60m> μ + 3 σ' και 'new _ device _ share ↑' → P1.
Δράση: αυστηρότερα όρια βαθμολόγησης/απόσυρσης.

12) Τεχνουργήματα και μοτίβα

12. 1 κανόνες YAML (επιγραμμικά)

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12. 2 Config offline backtest

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12. 3 Διαβατήριο περιστατικού RCA

Περιστατικό: drop rounds @ provider A

Περίοδος: 2025-11-01 18: 10-18: 35 (Ευρώπη/Κίεβο)

Root-node: 'παιχνίδια. κινητήρα. (αλλαγή σημείου @ 18:12)

: 'lobby _ clicks ', 'rounds _ per _ min 45%', 'GGR/min 28%'

Αντεπιχειρήματα: πληρωμές OK, PSP OK, FX/στατιστικές κανονικές

Ενέργειες: απόκρυψη πλακιδίων, επαφή με τον πάροχο, πανό κατάστασης

Αποτέλεσμα: ανάκτηση @ 18:34; προληφθείσες ζημίες X

13) Μετρήσεις επιτυχίας της διαδικασίας

σχετικά με περιστατικά (επισήμανση ανά ιδιοκτήτη τομέα).
ATTD/MTTR σε λεπτά (διάμεση τιμή/p90).
: X% των συναγερμών «ψεύτικης νύχτας», Y ειδοποιήσεις/βάρδια.
Χρόνος RCA-: διάμεσος χρόνος μέχρι την αιτία.
Εξοικονομούμενες επιχειρήσεις: αξιολόγηση των διατηρούμενων καταθέσεων/γύρων.
Κάλυψη: ≥ 95% των υπό παρακολούθηση κρίσιμων διαδρομών.

14) Διαδικασίες και RACI

Ιδιοκτήτες τομέα (R) - κανόνες/γραμμές βάσης/σήμανση συμβάντων.
Πλατφόρμα δεδομένων/Παρατηρησιμότητα (R) - κινητήρας ανίχνευσης, αποθήκευση, SLO.
ML μόλυβδος (R) - μοντέλα ανωμαλίας, βαθμονόμηση, δικαιοσύνη.
SRE/SecOps (R) - Ολοκλήρωση SOAR/PagerDuty, συμβάντα.
CDO/DPO (A) - πολιτική προστασίας της ιδιωτικής ζωής/δεοντολογίας, Zero-PII.
Προϊόντα/Χρηματοδότηση (Γ) - κατώτατα όρια SLO και επιχειρηματικές προτεραιότητες.

15) Χάρτης πορείας για την εφαρμογή

0- 30 ηµέρες (MVP)

1. Κρίσιμες διαδρομές: πληρωμές, game_rounds, κατάποση φρεσκάδας.
2. Γραμμές βάσης ανά ώρα/ημέρα και βασικές διαστάσεις (χώρα/εμπορικό σήμα/psp/πάροχος).
3. Απλοί ανιχνευτές: EWMA/ισχυρή βαθμολογία z + υστερία.
4. Κανάλια προειδοποίησης και 3 runbook 'a (πληρωμές/παιχνίδια/DQ).
5. Backtests για 3-6 μήνες ιστορίας, σήμανση συμβάντων.

30- 90 ηµέρες

1. Σημεία αλλαγής, εποχιακά ποσοτικά στοιχεία, πολυτροπικές σειρές.
2. Δάσος απομόνωσης/LOF για πολυδιάστατες περιπτώσεις· κατάσταση σκιάς.
3. Διάγραμμα εξάρτησης RCA και ημιαυτόματη απόδοση.
4. SLO-συνειδητά κατώτατα όρια· καταστολή/ομαδοποίηση· αυτόματη συμπλήρωση εισιτηρίων.

3-6 μήνες

1. κανόνες/μοντέλα Champion-Challenger· κατώφλια αυτόματης ρύθμισης.
2. Εξωτερικές ενοποιήσεις (πάροχοι/πάροχοι υπηρεσιών πληρωμών) με υπογεγραμμένα webhooks.
3. Εκθέσεις «εισφορά συναγερμού στην MTTR/έσοδα»· τριμηνιαίες συνεδρίες υγιεινής.
4. Αιτιώδη πειράματα για αμφιλεγόμενες συσχετίσεις (A/B, Granger, ορχηστρικές μεταβλητές).

16) Αντι-μοτίβα

Όριο κοινό για όλες τις χώρες/ώρες/κανάλια.
Αγνοώντας την εποχικότητα/τα αποθέματα → θύελλα εσφαλμένων προειδοποιήσεων.
Δεν υπάρχουν backtests και markup των περιστατικών - δεν υπάρχει τίποτα να βελτιστοποιήσετε.
Το κυνήγι συσχετισμών χωρίς διαστρωμάτωση/μερική στρωματοποίηση → ψευδείς αιτίες.
Αρχεία/καταχωρίσεις με PII, στιγμιότυπα οθόνης σε κοινόχρηστα κανάλια.
«Αιώνιοι» κανόνες χωρίς αναθεώρηση και ιδιοκτήτη.

17) Συναφή τμήματα

Συναγερμοί ροής δεδομένων, πρακτικές DataOps, APIs ανάλυσης και μέτρησης, Auditing and Versioning, MLOps: Εκμετάλλευση μοντέλων, έλεγχος πρόσβασης, ασφάλεια και κρυπτογράφηση, πολιτικές διατήρησης δεδομένων, μείωση της προκατάληψης.

Σύνολο

Η ανάλυση ανωμαλίας και συσχέτισης δεν είναι «μαγεία ML» αλλά ένα μηχανικό σύστημα: το σωστό πλαίσιο και εποχικότητα, ένα υβρίδιο κανόνων και μοντέλων, αυστηρές μετρήσεις ποιότητας και διαχείριση RCA. Στο iGaming, ένα τέτοιο σύστημα μειώνει την MTTR, προστατεύει τα έσοδα και διατηρεί την εμπιστοσύνη των παικτών και των ρυθμιστικών αρχών - χωρίς παραβιάσεις της ιδιωτικής ζωής.