ניתוח של חריגות וקורלציות
1) מדוע זה iGaming
איימינג חי בזמן אמת: הפקדות עוכבו, ספק משחקים ספציפי ”שקע”, הונאה צצה, תמהיל התנועה השתנה. אנחנו צריכים משמעת ש:- מאתר וריאציות מוקדם (לפני ש- KPIS והכנסות נופלות בדו "חות).
- מבדיל כישלונות מעונות עונה/קידום/טורנירים.
- מוצא סיבות שורש (RCA) במקום ”טיפול בתסמינים”.
- מכבד פרטיות ואתיקה (RG/AML) מבלי למסור את PII.
2) טיפולוגיה של אנומליה
נקודה: שיא אחד/מטבל (למשל. שגיאות ספייק PSP).
קולקטיב: רצף של ערכים לא טיפוסיים (השפלה ארוכה).
קונטקסטואלי: נורמלי בלילה, לא נורמלי במהלך היום (תלוי בהקשר: שעה/מדינה/ערוץ).
שינוי במצב/מגמה (נקודת שינוי): רמה, שונות, עונתיות השתנו באופן דרמטי.
מבנה: קפיצה בהשמטות/שכפולים, סכימה נסחפת.
סיבה ותוצאה: שינוי הצומת השכנה (PSP/despect) ”הפך” את השורה שלנו.
3) הכנת נתונים והקשרם
לוח שנה ושבת: סופי שבוע/חגים/טורנירים/קידום = קווי בסיס בודדים.
שכבות צבירה: 1-min/5-min/שעה, על ידי מדינה/מותג/ספק/התקן.
נורמליזציה: לנפש (לכל שחקן/סשן), לפי שעה, על ידי FX.
תכונות זמן: גליל ממוצע/מחלת מין, EWMA, lags, יום בשבוע, ”דקות לחתוך”.
איכות: סינון אירועים/שכפולים מאוחרים, ביטול שגיאות זמן.
4) שיטות גילוי (פשוט להכלאה)
סטטיסטיקה וסדרת זמן
EVMA, פירוק STL-Score (טרנד/עונה/להישאר).
CUSUM/ADWIN - רגיש לשינוי ממוצע/פיזור.
שינוי נקודות (לדוגמה, PELT/BOCPD): תיקון נקודות שינוי מצב.
Prophet/ETS - תחזית + מסדרון ביטחון = = פליטות מחוץ למרווח.
רב-ממדי/צפיפות
יער בידוד, LOF, SVM ברמה אחת - כאשר ישנם סימנים רבים (PSP, geo, channel, dick).
צופן אוטומטי (שחזור/שגיאה) עבור דפוסים מורכבים.
זרמים מקוונים
חלונות הזזה, סקיצות כמויות, EWMA + היסטרזיס; חשבון על סימני מים ונתונים מאוחרים.
”סף כפול” לדכא להקפיץ.
היברידי
Domain rules (SLO-conduct) + statistics/ML.
5) איכות זיהוי: כיצד למדוד
Precision/Recall/F1 לתקריות מסומנות.
ATTD (זמן ממוצע לזיהוי) ו-TTR (זמן לנורמליזציה).
הטיית משך: עונש על ”מצמוץ” (תכופות הכניסה/יציאת חריגה).
מדדים עסקיים לשעבר: ”כמה כדורים/פיקדונות שמרו, כמה P1s מנעו”.
יציבות: אחוז אזעקות השווא המדוכאות; p95 ”לילות שקטים”.
6) קורלציה, סיבתיות ומלכודות
קורלציה לסיבתיות: נהג רגיל (מלאי/חיצוני כלפי מטה) יכול ”לנהוג” בשני המדדים.
מתאם חלקי (מותנה), מידע הדדי (MI) - כאשר הקישורים אינם לינאריים.
סיבתיות גריינג 'ר - שורה אחת עוזרת לחזות את השנייה.
תגלית סיבתית/DAG - השערות לגבי כיוון ההשפעה.
הפרדוקס של סימפסון: אגרגטים ”לשקר” ללא סטרטיפיקציה (מדינה/ערוץ/התקן).
דליפה: סימנים המכילים מידע עתידי נותנים סיבות שגויות.
7) ניתוח שורש-סיבה (RCA)
גרף תלות: ספקי משחק * lobies = הימורים = תשלומים/PSP # KPI.
סריקת מדידה: מי ”שבר”? (מדינה, מותג, מפרנס, שיטת תשלום, נכס קבוע).
קבוצות ניגוד: היכן שקיים יחס סיכונים/סיכויים יחסי.
שייפלי/תכונה ייחוס עבור מודלים אנומליה רב פעמית.
מה-אם התרחישים: לבטל את קטע החשוד - הוא KPI שוחזר?
8) הפחתת רעש ותעדוף
היסטריזה: ”3 מתוך 5 חלונות שבורים” לאישור.
סף דינמי: קו בסיס ננסי, כמויות 5/95, פרופילים עונתיים.
התקבצות: תקרית אחת לכל ספק א 'במקום 300 התראות למשחק.
מודעות SLO: התראה רק אם סף SLO/עסק מושפע.
דיכוי: N מתריע במהירות מקסימלית של T דקות לכל תווית.
9) מסוע: מקוון ולא מקוון
מקוון: Flink/Spark Streaming/CEP - חלונות דקים, סימני מים, שכפול, אידמפוטנטיות.
לא מקוון: מבחנים אחוריים לשנת ההיסטוריה, הזרקת תקריות ”סינתטיות”, השוואת מועמדים.
Open: rule/model versioning (MAJOR/MINOR/PATCH), shadow/canary, ו-rollback עבור כללים.
10) פרטיות, אתיקה, ציות
אפס-PII בפיצ 'ות והתראות; אסימונים במקום מזהים.
RG/AML: ערוצים ונגישות בודדים; טקסט Reduction.
הטיה: בדוק את השונות במדדים רגישים (מדינה/שיטה/התקן) - אל תהפוך את הסטייה לאפליה.
Hold/DSAR משפטי: אחסון ההיסטוריה של זיהוי/החלטות - יומן תולעת.
11) ארגזי iGaming (תבניות מוכנות)
תשלומים/PSP
זיהוי: ”success _ rate _ deposits _ 5m” להלן baseline_28d על ידי 3 סיגריות, אישור של 3/5 חלונות = P1.
RCA: סעיף על "psp, country, method'; בודק תורים/חוזרים.
ספקי משחקים
גילוי: 'סיבובים _ per _ min' של ספק A <60% של rolling_quantile (0. 1) עבור 28d # P1.
פעולה: להסתיר אריחי משחק A, להודיע לספק, לעבור לובי.
RG
גילוי: ”high _ risk _ share” lique by> 3 pp ב-10 דקות במותג B # P2.
RCA: קמפיינים/בונוסים, נחשול במכשירים חדשים, Geo-shift.
Antifraud
גילוי: ”chargback _ rate _ 60m> our + 3 egender” ו- ”new _ device _ share _ rate” # P1.
פעולה: להדק ניקוד/הגבלת נסיגה.
12) חפצים ותבניות
12. 1 כללי YAML (באינטרנט)
yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 012. 2 הגדרות לא מקוונות בדיקה אחורית
yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]12. דרכון תקרית 3 RCA
תקרית: טיפת סבבים @ ספק
תקופה: 2025-11-01 18: 10-18: 35 (אירופה/קייב)
צומת שורש: "משחקים. מנוע. provider_A' (change-point @ 18:12)
”לובי _ קליקים”, ”סיבובים _ per _ min% 45”, ”GGR/min extreme 28%”
טיעונים נגדיים: תשלומים אישור, PSP אישור, FX/stats נורמלי
פעולות: אריחים מחבואים, קשר ספק, כרזת מצב
תוצאה: התאוששות @ 18:34; הפסדים מנעו X
13) מטריצות הצלחה של תהליך
Precision/Recall/F1 בתקריות P1/P2 (סימון על ידי בעלי התחום).
ATTD/MTR בדקות (median/p90).
רעש: X% של ”לילה כוזב” אזעקות, התראות וואי/משמרת.
זמן רק "א: זמן חציוני להשריש סיבה.
העסק נשמר: הערכה של פיקדונות/סיבובים נשמרים.
כיסוי: 95% מהנתיבים הקריטיים תחת השגחה.
14) תהליכים ו ־ RACI
Domain בעלים (R) - כללים/קווי בסיס/תקרית סימון.
פלטפורמת נתונים/יכולת תצפית (R) - מנוע גילוי, אחסון, SLO.
ML עופרת (R) - מודלים אנומליים, כיול, הגינות.
SRE/Secops (R) - SOAR/Page Duty Integrations, תקריות.
(CDO/DPO - מדיניות פרטיות/אתיקה, אפס-פיל.
סף SLO וסדרי עדיפויות עסקיים.
15) מימוש מפת דרכים
0-30 ימים (MVP)
1. נתיבים קריטיים: תשלומים, game_rounds, רעננות בולעים.
2. קווי בסיס לפי שעה/יום וממדי מפתח (קאנטרי/מותג/psp/ספק).
3. גלאים פשוטים: EWMA/visonal z-ציון + היסטרזיס.
4. ערוצים התראה ו-3 runbook 'a (תשלומים/משחקים/DQ).
5. מבחנים אחוריים ל-3-6 חודשי היסטוריה; סימן של תקריות.
30-90 ימים
1. נקודות שינוי, כמויות עונתיות, סדרה מולטימודלית.
2. בידוד יער/LOF עבור מקרים רב ממדיים; מצב צל.
3. גרף התלות של RCA וייחוס חצי אוטומטי.
4. סף המודע SLO; דיכוי/קיבוצים; כרטיסים להשלמה אוטומטית.
3-6 חודשים
1. כללי צ 'מפיון-צ' לנג 'ר/דוגמניות; סף כוונון אוטומטי.
2. אינטגרציות חיצוניות (ספקים/PSPs) עם קובצי אינטרנט חתומים.
3. מדווח על ”תרומת התראה להכנסה/MTTR”; מפגשי היגיינה רבעוניים.
4. ניסויים סיבתיים לקורלציות שנויות במחלוקת (A/B, גריינג 'ר, משתנים אינסטרומנטליים).
16) אנטי דפוסים
סף אחר עין משותף לכל המדינות/הערוצים/שעות.
התעלמות מעונות ים/מניות היא סערה של התראות שווא.
אין מבחנים אחוריים וסימון של תקריות - אין מה לייעל.
רודף אחר קורלציות ללא סטרטיפיקציה/חלקי corr * סיבות שגויות.
יומנים/התראות עם מח "ש, צילומי מסך בערוצים משותפים.
כללים ”נצחיים” ללא תיקון ובעלים.
17) חלקים קשורים
Data Flow Alerts, DataOps Practics, Analytics and Metrics APIs, Auditing and Versioning, MLOps: Model Explication, Access Control, Security, Data rition Bies.
סך הכל
אנומליה וניתוח מתאם אינם ”קסם ML” אלא מערכת הנדסית: הקשר נכון ועונה, הכלאה של כללים ודגמים, מדדי איכות קפדניים וניהול RCA. ב-iGaming, מערכת כזו מפחיתה את MTTR, מגנה על הכנסות ושומרת על אמון השחקנים והרגולטורים - ללא הפרות פרטיות.