Аномалияларды жана корреляцияларды талдоо

1) Эмне үчүн iGaming

• Эрте четтөөлөрдү аныктайт (KPI жана киреше отчеттордо түшүп чейин).
• Үзгүлтүктөрдү сезондук/акциялардан/турнирлерден айырмалайт.
• негизги себептери (RCA) ордуна "симптомдору дарылоо".
• PII таратпастан купуялуулукту жана этиканы (RG/AML) сактайт.

2) Аномалиялардын типологиясы

Чекит (чекит): бир чоку/ийгиликсиздик (мисалы, PSP каталарынын spike).
Сериялык (collective): типтүү эмес маанилердин ырааттуулугу (узакка созулган деградация).
Contextual (contextual): кадимки түнү, аномалдуу күндүз (контекстке жараша: саат/өлкө/канал).
Режим/тенденцияны өзгөртүү (change-point): деңгээл, дисперсия, сезондук кескин өзгөрдү.
Структуралык: пропуск/дубликат, схема drift.
Себеп: кошуна түйүндүн өзгөрүшү (PSP/провайдер) биздин катарды "өзгөрттү".

3) Маалыматтарды жана контекстти даярдоо

Календарь жана сезондук: дем алыш/майрам/турнирлер/акциялар → өзүнчө базалык линиялар.
Агрегациянын катмарлары: 1-мин/5-мин/саат, өлкө/бренд/провайдер/аппарат боюнча.
нормалдаштыруу: per-capita (оюнчу/сессия), күнү-түнү, FX боюнча.
Fich Time: rolling mean/std, EWMA, Лаги, жума күнү, "cut-off мүнөт".
Сапаты: кечигип окуяларды чыпкалоо/кайталоо, timezone каталарды жоюу.

4) Детекция ыкмалары (жөнөкөй гибриддик үчүн)

Статистика жана убакыт катарлары

Robust z-score (mediana/IQR), EWMA, STL-декомпозиция (trend/seasonal/remain).
CUSUM/ADWIN - орто/дисперсия жылышына сезгич.
Change-пункттары (мисалы, PELT/BOCPD): режимин өзгөртүү чекиттерин чечүү.
Prophet/ETS - божомол + ишеним коридор → аралыктан тышкары эмиссия.

Көп өлчөмдүү/тыгыздыгы

Isolation Forest, LOF, One-Class SVM - белгилер көп болгондо (PSP, гео, канал, түзмөк).
Autoencoder (калыбына келтирүү/ката) татаал үлгүлөрү үчүн.

Онлайн агымдары

Slider терезелер, quantiles, EWMA + histeresis; watermarks жана late data эсепке алуу.
"Dual-thresholds" (кирүү/аномалиядан чыгуу) дүмүрчөктү басуу үчүн.

Гибрид

домен эрежелери (SLO-сезимдүү) + статистика/ML → жогоруда тактык жана түшүндүрүү.

5) Детекция сапаты: кантип өлчөө керек

Precision/Recall/F1 окуялар боюнча.
ATTD (Detect үчүн Average Time) жана TTR (нормалдашууга чейинки убакыт).
Duration bias: "жыпар жыттуу" үчүн айып (аномалиядан тез-тез кирүү/чыгуу).
Экс-пост бизнес-метрика: "Канча раунд/депозиттер сакталды", "канча P1 алдын алды".
Туруктуулук: басылган жалган тынчсыздануулардын үлүшү; p95 "тынч түндөр".

6) корреляция, себеп жана тузак

Корреляция ≠ себептүүлүк: жалпы айдоочу (акция/тышкы down) эки метрика "алып" алат.
Partial correlation (шарттуу), Mutual Information (MI) - байланыштар сызыктуу эмес болгондо.
Granger causality - бир катар экинчисин алдын ала айтууга жардам берет.
DAG/causal discovery (алдын ала текшерүү менен) - таасир багыты жөнүндө гипотезалар.
Simpson's paradox: агрегаттар "калп" жок (өлкө/канал/түзмөк).
Leakage: келечектеги маалыматты камтыган белгилер жалган себеп берет.

7) Root-Cause Analysis (RCA)

Count көз карандылык: оюн провайдерлери → лобби → коюмдар → төлөмдөр/PSP → KPI.
өлчөмдөрү боюнча сканер: ким "сынган"? (өлкө, бренд, провайдер, төлөм ыкмасы, OS).
Карама-каршы топтор: аномалия бар/жок → салыштырмалуу тобокелдик/odds ratio.
Аномалиялардын көп өлчөмдөгү моделдери үчүн Shapley/Feature attribution.
"Эмне болсо" сценарийлери: шектүү сегментти өчүрүү - KPI калыбына келеби?

8) Ызы-чууну азайтуу жана артыкчылыктуу

Гистерезис: "5 терезеден 3 бузулган" тастыктоо үчүн.
Динамикалык босоголор: baseline ± k· σ, квантиль 5/95, сезондук профилдер.
Топ: "провайдер А" боюнча бир окуя, оюн боюнча 300 алерттин ордуна.
SLO-аң-сезим: SLO/бизнес босогосу таасир этсе гана алертим.
Супрессия: Бир labels-топтомуна T мүнөт үчүн максималдуу алерт N.

9) Конвейер: онлайн жана оффлайн

Онлайн: Flink/Spark Streaming/CEP - мүнөттүк терезелер, watermarks, дедупликация, демпотенттик.
Оффлайн: тарых жылына бектесттер, "синтетикалык" инциденттерди инжекциялоо, талапкерлерди салыштыруу.
ModelOps: эрежелерди/моделдерди версиялоо (MAJOR/MINOR/PATCH), эрежелер үчүн shadow/canary жана rollback.

10) Купуялык, этика, комплаенс

Zero-PII чеп жана алертада; идентификаторлордун ордуна токендер.
RG/AML: өзүнчө каналдар жана жетүү; текст redaction.
Bias: сезгич өлчөмдөр боюнча чачыранды текшерүү (өлкө/ыкма/түзмөк) - басмырлоо аномалия буруш үчүн эмес.
Legal Hold/DSAR: detection тарыхы/чечимдерди сактоо - WORM-лог.

11) iGaming учурларда (даяр үлгүлөрү)

Төлөмдөр/PSP

Детекция: 'success _ rate _ deposits _ 5m ↓' төмөн baseline_28d 3 σ, 3/5 терезе ырастоо → P1.
RCA: кесүү 'psp, country, method'; кезектерди/ретраларды текшерүү.

Оюн провайдерлери

Детекция: 'rounds _ per _ min' провайдер A <60% rolling_quantile (0. 1) үчүн 28d → P1.
Аракет: А оюндарынын тилдерин жашыруу, провайдерге кабарлоо, лоббиге өтүү.

RG

Детекция: 'high _ risk _ share' ↑ на> 3 п.п. 10 мин брендде B → P2.
RCA: кампаниялар/бонустар, жаңы түзмөктөрдүн өсүшү, гео-жылыш.

Антифрод

Детекция: 'chargeback _ rate _ 60m> μ + 3 σ' И 'new _ device _ share ↑' → P1.
Аракет: эсепти/чегерүүлөрдү күчөтүү.

12) Артефакттар жана үлгүлөр

12. 1 YAML эрежелери (онлайн)

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12. 2 Offline Бэктест

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12. 3 RCA окуя паспорт

Окуя: drop rounds @ provider A

Мезгил: 2025-11-01 18: 10-18: 35 (Europe/Kyiv)

Root-node: `games. engine. provider_A` (change-point @18:12)

Аффект: `lobby_clicks ↓`, `rounds_per_min ↓ 45%`, `GGR/min ↓ 28%`

Контраргументтер: payments OK, PSP OK, FX/stats кадимки

Иш-аракеттер: hide tiles, байланыш провайдери, статус баннери

натыйжасы: калыбына келтирүү @ 18:34; жоготуулар алдын X

13) Процесс ийгилигинин метрикасы

Precision/Recall/F1 окуялар боюнча P1/P2 (домен ээлери тарабынан белгилөө).
ATTD/MTTR мүнөттө (медиа/p90).
Noise ↓: − X% "жалган түнкү" кооптонуулар, ≤ Y алдын ала/өзгөртүү.
RCA-убакыт: баштапкы себеби чейин медиа убакыт.
Business saved: сакталган депозиттерди/раунддарды баалоо.
Coverage: ≥ 95% байкоо астында маанилүү жолдор.

14) Процесстер жана RACI

Domain Owners (R) - эрежелер/базалык сызыктар/окуя белгилөө.
Data Platform/Observability (R) - детекция кыймылдаткычы, сактоо, SLO.
ML Lead (R) - аномалия, калибрлөө, fairness моделдери.
SRE/SecOps (R) - SOAR/PagerDuty менен интеграция, окуялар.
CDO/DPO (A) - купуялык/этика саясаты, Zero-PII.
Product/Finance (C) - SLO босогосу жана бизнес артыкчылыктары.

15) Ишке ашыруунун жол картасы

0-30 күн (MVP)

1. Критикалык жолдор: payments, game_rounds, freshness ingest.
2. Сааттар/күндөр жана негизги өлчөөлөр боюнча базалык линиялар (өлкө/бренд/psp/провайдер).
3. Жөнөкөй детекторлор: EWMA/robust z-score + histeresis.
4. Алерт каналдары жана 3 runbook 'a (төлөмдөр/оюндар/DQ).
5. Бэктесттер 3-6 ай тарыхы; окуяларды белгилөө.

30-90 күн

1. Change-points, seasonal quantiles, multimodal катар.
2. Isolation Forest/LOF көп өлчөмдүү учурларда үчүн; shadow-режими.
3. RCA-граф көз карандылык жана жарым-автоматтык атрибутика.
4. SLO-аң-сезимдүү босоголор; suppression/grouping; авто толтурулган билеттер.

3-6 ай

1. Champion-Challenger эрежелери/моделдери; авто-тюнинг босоголор.
2. Кол коюлган вебхуктар менен тышкы интеграциялар (провайдерлер/PSP).
3. Отчеттор "MTTR/кирешеге алерттердин салымы"; чейректик гигиена сессиялары.
4. Талаштуу байланыштар үчүн Causal-эксперименттер (A/B, Granger, аспаптык өзгөрмөлөр).

16) Анти-үлгүлөрү

Бардык өлкөлөр/саат/каналдар үчүн жалпы "көз" босогосу.
Ignor сезондук/үлүштөрү → "бороон" жалган alertov.
Бектесттер жана инциденттерди белгилөө жок - оптималдаштыра турган эч нерсе жок.
катышы жок корреляцияларды кууп/partial corr → жалган себептер.
PII менен Логи/Алерт, жалпы каналдарда скриншоттор.
Ревизиясыз жана ээсиз "түбөлүк" эрежелер.

17) Байланыштуу бөлүмдөр

DataOps-практикасы, DataOps-практикасы, API аналитика жана метрика, Аудит жана версиясы, MLOps: моделдерди иштетүү, Жеткиликтүүлүктү көзөмөлдөө, Коопсуздук жана шифрлөө, Маалыматтарды сактоо саясаты, Калыстыкты азайтуу.

Жыйынтык

Аномалияларды жана корреляцияларды талдоо "сыйкырдуу ML" эмес, инженердик система: туура контекст жана сезондук, эрежелердин жана моделдердин гибриди, катуу сапат метриктери жана башкарылуучу RCA. iGaming бул система MTTR азайтат, кирешени коргойт жана оюнчулардын жана жөнгө салуучулардын ишенимин сактайт - купуялуулукту бузбастан.