تجزیه و تحلیل ناهنجاری ها و همبستگی ها

1) چرا بازی

• واریانس ها را زود تشخیص می دهد (قبل از KPI ها و کاهش درآمد در گزارش ها).
• تشخیص شکست از فصلی/تبلیغات/مسابقات.
• علل ریشه ای (RCA) را به جای «درمان علائم» پیدا می کند.
• احترام به حریم خصوصی و اخلاق (RG/AML) بدون دادن PII.

2) نوع ناهنجاری

نقطه: تک قله/شیب (به عنوان مثال خطای PSP).
جمعی: دنباله ای از مقادیر غیر معمول (تخریب طولانی).
متنی: طبیعی در شب، غیر طبیعی در طول روز (بسته به زمینه: ساعت/کشور/کانال).
تغییر حالت/روند (نقطه تغییر): سطح، واریانس، فصلی به طور چشمگیری تغییر کرده است.
ساختاری: سنبله در حذفیات/تکراری، رانش طرح.
علت و معلول: تغییر گره همسایه (PSP/ارائه دهنده) «تبدیل» ردیف ما.

3) آماده سازی داده ها و زمینه

تقویم و فصلی: تعطیلات آخر هفته/تعطیلات/مسابقات/تبلیغات → خطوط فردی.
لایه های جمع آوری: 1-min/5-min/hour، توسط کشور/نام تجاری/ارائه دهنده/دستگاه.
عادی سازی: سرانه (در هر بازیکن/جلسه)، در زمان روز، توسط FX.
ویژگی های زمان: نورد متوسط/STD، EWMA، عقب، روز هفته، «دقیقه به قطع».
کیفیت: فیلتر کردن رویدادهای اواخر/تکراری، از بین بردن خطاهای منطقه زمانی.

4) روش های تشخیص (ساده به ترکیبی)

آمار و سری های زمانی

z-score قوی (میانه/IQR)، EWMA، تجزیه STL (روند/فصلی/باقی می ماند).
CUSUM/ADWIN - حساس به میانگین/تغییر پراکندگی.
نقاط تغییر (به عنوان مثال، PELT/BOCPD): نقاط تغییر حالت را ثابت کنید.
پیامبر/ETS - پیش بینی + راهرو اعتماد به نفس → انتشار گازهای گلخانه ای خارج از فاصله.

چند بعدی/تراکم

جداسازی جنگل، LOF، SVM یک کلاس - زمانی که نشانه های بسیاری وجود دارد (PSP، جغرافیایی، کانال، دستگاه).
خودکار رمزگذار (بازسازی/خطا) برای الگوهای پیچیده.

جریان های آنلاین

پنجره های کشویی، طرح های چندک، EWMA + هیسترزیس ؛ حسابداری برای علامت های سفید و داده های دیر.
«آستانه های دوگانه» برای سرکوب گزاف گویی.

ترکیبی

قوانین دامنه (SLO آگاهانه) + آمار/ML → دقت بالاتر و توضیح.

5) کیفیت تشخیص: نحوه اندازه گیری

Precision/Recall/F1 برای حوادث مشخص شده

ATTD (میانگین زمان تشخیص) و TTR (زمان نرمال شدن).
تعصب مدت زمان: مجازات برای «چشمک زدن» (ورودی/خروجی مکرر از ناهنجاری).
معیارهای کسب و کار پست: «چند دور/سپرده ذخیره شده»، «چگونه بسیاری از P1s جلوگیری کرد».

پایداری: نسبت هشدارهای کاذب سرکوب شده ؛ p95 «شبهای آرام»

6) همبستگی، علیت و تله

همبستگی ≠ علیت: یک راننده مشترک (سهام/خارجی پایین) می تواند هر دو معیار را «رانندگی» کند.
همبستگی جزئی (مشروط)، اطلاعات متقابل (MI) - زمانی که لینک ها غیر خطی هستند.
علیت گرنجر - یک ردیف به پیش بینی دیگری کمک می کند.
DAG/کشف علی - فرضیه در مورد جهت نفوذ.
پارادوکس سیمپسون: جمع «دروغ» بدون طبقه بندی (کشور/کانال/دستگاه).
نشت: نشانه هایی که حاوی اطلاعات آینده هستند، دلایل دروغین را ارائه می دهند.

7) تجزیه و تحلیل علت ریشه (RCA)

نمودار وابستگی: ارائه دهندگان بازی → لابی → شرط → پرداخت/PSP → KPI.
اسکن اندازه گیری: چه کسی «شکست» ؟ (کشور، نام تجاری، ارائه دهنده، روش پرداخت، دارایی ثابت).
گروه های کنتراست: جایی که یک ناهنجاری/نه → نسبت ریسک/شانس نسبی وجود دارد.
Shapley/Feature attribution برای مدل های ناهنجاری چند متغیره.

سناریوهای چه می شود اگر: بخش مشکوک را غیرفعال کنید - KPI بازسازی شده است ؟

8) کاهش نویز و اولویت بندی

Hysteresis: «3 از 5 پنجره شکسته» برای تایید.
آستانه پویا: پایه ± k· σ، چندک 5/95، پروفایل های فصلی.
گروه بندی: یک حادثه در هر «ارائه دهنده A» به جای 300 هشدار در هر بازی.
SLO-آگاهی: alertim تنها اگر آستانه SLO/کسب و کار تحت تاثیر قرار است.
سرکوب: N هشدار در حداکثر T دقیقه در هر مجموعه برچسب.

9) نوار نقاله: آنلاین و آفلاین

آنلاین: Flink/Spark Streaming/CEP - پنجره های دقیقه، علامت های سفید، deduplication، idempotency.
آفلاین: backtests برای سال تاریخ، تزریق حوادث «مصنوعی»، مقایسه نامزدها.
ModelOps: نسخه بندی قانون/مدل (MAJOR/MINOR/PATCH)، سایه/قناری و عقبگرد برای قوانین.

10) حریم خصوصی، اخلاق، انطباق

صفر PII در fiches و هشدار ؛ نشانه ها به جای شناسه ها

RG/AML: کانال های فردی و دسترسی ؛ متن اصلاح.
تعصب: بررسی تغییرات در اندازه گیری های حساس (کشور/روش/دستگاه) - ناهنجاری را به تبعیض تبدیل نکنید.
نگهداری قانونی/DSAR: ذخیره تاریخچه تشخیص/تصمیم گیری - ورود به سیستم WORM.

11) موارد iGaming (قالب های آماده)

پرداخت/PSP

تشخیص: 'success _ rate _ deposits _ 5m ↓' زیر baseline_28d توسط 3 σ، تایید 3/5 پنجره → P1.
RCA: بخش «PSP، کشور، روش» ؛ چک کردن صف/retraces.

ارائه دهندگان بازی

تشخیص: 'rounds _ per _ min' ارائه دهنده A <60٪ از rolling_quantile (0. 1) برای 28d → P1.
اقدام: کاشی های بازی A را پنهان کنید، به ارائه دهنده اطلاع دهید، لابی را تغییر دهید.

RG

تشخیص: 'high _ risk _ share' ↑ شده توسط> 3 pp در 10 دقیقه در نام تجاری B → P2.
RCA: کمپین ها/پاداش ها، افزایش دستگاه های جدید، تغییر جغرافیایی.

ضد گلوله

تشخیص: 'chargeback _ rate _ 60m> μ + 3 σ' و 'new _ device _ share ↑' → P1.
اقدام: سفت به ثمر رساند/برداشت محدودیت.

12) مصنوعات و الگوهای

12. 1 قوانین YAML (آنلاین)

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12. 2 پیکربندی پشتی آفلاین

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12. 3 RCA حادثه گذرنامه

حادثه: رها کردن دور @ ارائه دهنده A

دوره: 2025-11-01 18: 10-18: 35 (اروپا/کیف)

ریشه گره: "بازی ها. موتور. provider_A' (نقطه تغییر @ 18:12)

: 'lobby _ clicks ', 'rounds _ per _ min 45%', 'GGR/دقیقه 28%'

Counterarguments: پرداخت OK، PSP OK، FX/آمار عادی

اقدامات: پنهان کردن کاشی، تماس با ارائه دهنده، بنر وضعیت

نتیجه: بازیابی @ 18:34 ؛ از دست دادن X جلوگیری کرد

13) معیارهای موفقیت فرآیند

Precision/Recall/F1 در حوادث P1/P2 (نشانه گذاری توسط صاحبان دامنه).
ATTD/MTTR در دقیقه (متوسط/p90).
Noise↓: − X٪ از آلارم «شب کاذب»، ≤ Y هشدار/تغییر.
RCA-زمان: زمان متوسط برای ریشه یابی علت.
کسب و کار ذخیره شده: ارزیابی سپرده های ذخیره شده/دور.
پوشش: ≥ 95٪ از مسیرهای بحرانی تحت نظر.

14) فرآیندها و RACI

صاحبان دامنه (R) - قوانین/خطوط پایه/علامت گذاری حادثه.
پلت فرم داده/قابلیت مشاهده (R) - موتور تشخیص، ذخیره سازی، SLO.
ML سرب (R) - مدل ناهنجاری، کالیبراسیون، انصاف.
SRE/SecOps (R) - ادغام SOAR/PagerDuty، حوادث.
CDO/DPO (A) - سیاست حفظ حریم خصوصی/اخلاق، صفر PII.
محصول/امور مالی (C) - آستانه SLO و اولویت های کسب و کار.

15) نقشه راه پیاده سازی

0-30 روز (MVP)

1. مسیرهای بحرانی: پرداخت، game_rounds، طراوت مصرف.
2. خطوط بر اساس ساعت/روز و ابعاد کلیدی (کشور/نام تجاری/PSP/ارائه دهنده).
3. آشکارسازهای ساده: EWMA/قوی z-score + هیسترزیس.
4. کانال های هشدار و 3 runbook 'a (پرداخت/بازی/DQ).

5. Backtests برای 3-6 ماه از تاریخ ؛ نشانه گذاری حوادث

30-90 روز

1. نقاط تغییر، چندک های فصلی، سری های چند منظوره.

2. جداسازی جنگل/LOF برای موارد چند بعدی ؛ حالت سایه

3. نمودار وابستگی RCA و تخصیص نیمه اتوماتیک.

4. آستانه های آگاهانه SLO ؛ سرکوب/گروه بندی ؛ تکمیل خودکار بلیط

3-6 ماه

1. قوانین قهرمان چلنجر/مدل ؛ آستانه تنظیم خودکار.
2. یکپارچگی خارجی (ارائه دهندگان/PSP ها) با وب سایت های امضا شده.
3. گزارش «سهم هشدار به MTTR/درآمد» ؛ جلسات بهداشتی سه ماهه.
4. آزمایش های علی برای همبستگی های بحث برانگیز (A/B، Granger، متغیرهای ابزار).

16) ضد الگوهای

آستانه توسط چشم مشترک به تمام کشورها/ساعت/کانال.
نادیده گرفتن فصلی/سهام → طوفان هشدارهای دروغین.
هیچ backtests و نشانه گذاری از حوادث وجود دارد - هیچ چیز برای بهینه سازی وجود دارد.
تعقیب همبستگی بدون طبقه بندی/جزئی corr → علل نادرست.
سیاهههای مربوط/هشدار با PII، تصاویر در کانال های مشترک.
قوانین «ابدی» بدون تجدید نظر و مالک.

17) بخش های مرتبط

Data Flow Alerts, DataOps Practices, Analytics and Metrics APIs, Auditing and Versioning, MLOps: Model Exploitation, Access Control, Security and Encryption, Data Retention Policies, Reducing Bias.

مجموع

تجزیه و تحلیل ناهنجاری و همبستگی «جادوی ML» نیست، بلکه یک سیستم مهندسی است: زمینه و فصلی صحیح، ترکیبی از قوانین و مدل ها، معیارهای کیفیت دقیق و RCA مدیریت شده. در iGaming، چنین سیستمی MTTR را کاهش می دهد، از درآمد محافظت می کند و اعتماد بازیکنان و تنظیم کننده ها را بدون نقض حریم خصوصی حفظ می کند.