Аномалиялар мен корреляцияларды талдау

1) Неліктен iGaming

• Ауытқуларды ерте анықтайды (KPI мен кіріс есептерде төмендегенге дейін).
• Ақауларды маусымдылықтан/акциялардан/турнирлерден ажыратады.
• «Симптомдарды емдеудің» орнына негізгі себептерді (RCA) табады.
• PII таратпай-ақ құпиялылық пен этиканы (RG/AML) сақтайды.

2) Аномалиялар типологиясы

Нүктелі (point): жеке шыңы/сәтсіздігі (мысалы, spike PSP қателері).
Сериялық (collective): типтік емес мәндер тізбегі (ұзақ деградация).
Контекст (contextual): қалыпты түнде, аномальды күндіз (контекстке байланысты: сағат/ел/арна).
Режим/трендтің ауысуы (change-point): деңгейі, дисперсиясы, маусымдылығы күрт өзгерді.
Құрылымдық: рұқсатнамалардың/телнұсқалардың, schema drift.
Себеп-салдары: көрші тораптың (PSP/провайдер) өзгеруі біздің қатарымызды «сындырды».

3) Деректер мен мәтінді дайындау

Күнтізбе және маусымдылық: демалыс/мереке/турнирлер/акциялар → жеке базалық желілер.
Агрегация қабаттары: 1-мин/5-мин/сағ, ел/бренд/провайдер/құрылғы бойынша.
Қалыпқа келтіру: per-capita (бір ойыншыға/сессияға), тәулік уақыты бойынша, FX бойынша.
Уақыт фичтері: rolling mean/std, EWMA, лаги, апта күні, «cut-off минутына дейін».
Сапасы: кешіктірілген оқиғаларды/көшірмелерді сүзу, timezone қателерін жою.

4) Детекция әдістері (қарапайымнан гибридке)

Статистика және уақытша қатарлар

Robust z-score (медиана/IQR), EWMA, STL-декомпозиция (trend/seasonal/remain).
CUSUM/ADWIN - орташаның/дисперсияның ауысуына сезімтал.
Change-points (мысалы, PELT/BOCPD): режимнің ауысу нүктелерін бекітеміз.
Prophet/ETS - болжам + сенімді дәліз → аралықтан тыс шығарындылар.

Көп өлшемді/тығыздық

Isolation Forest, LOF, One-Class SVM - белгілер көп болғанда (PSP, гео, арна, девайс).
Күрделі үлгілер үшін Autoencoder (қайта құру/қате).

Онлайн ағындар

Сырғанайтын терезелер, квантильді скеткалар, EWMA + гистерезис; watermarks және late data есебі.
«Dual-thresholds» (аномалиядан шығу/кіру).

Гибрид

Домен ережелері (SLO-саналы) + статистика/ML → жоғарыдағы дәлдік және түсініктілік.

5) Детекция сапасы: қалай өлшеу керек

Белгіленген тосын оқиғалар бойынша Precision/Recall/F1.
ATTD (Average Time To Detect) және TTR (қалыпқа келтіруге дейінгі уақыт).
Duration bias: «жыпылықтау» үшін айыппұл (жиі кіру/аномалиядан шығу).
Ex-post бизнес-метриктер: «қанша раунд/депозит сақтады», «қанша P1 алдын алды».
Stability: басылған жалған дабылдардың үлесі; p95 «тыныш түндер».

6) Корреляция, себеп және тұзақтар

Корреляция ≠ себеп: жалпы драйвер (акция/сыртқы айдау) екі метриканы да «жүргізуі» мүмкін.
Partial correlation (шартты), Mutual Information (MI) - байланыстар сызықтық емес болғанда.
Granger causality - бір қатар екіншісін болжауға көмектеседі.
DAG/causal discovery (болжамды тексерумен) - әсер ету бағыты туралы гипотезалар.
Simpson's paradox: агрегаттар стратификациясыз «жалған» (ел/арна/құрылғы).
Leakage: болашақ ақпаратты қамтитын белгілер жалған себептер береді.

7) Root-Cause Analysis (RCA)

Баған тәуелділік: провайдерлер ойындар → лобби → ставкалар → төлемдер/PSP → KPI.
Өлшем бойынша сканер: кім «сынған»? (ел, бренд, провайдер, ақы төлеу әдісі, ОС).
Қарама-қарсы топтар: аномалия бар/жоқ → салыстырмалы тәуекел/odds ratio.
Аномалиялардың көп өлшемді модельдері үшін Shapley/Feature attribution.
«Не болса» сценарийі: күмәнді сегментті өшіру - KPI қалпына келе ме?

8) Шуды азайту және басымдық беру

Гистерезис: растау үшін «5 терезенің 3-і бұзылған».
Динамикалық табалдырықтар: baseline ± k· σ, квантиль 5/95, маусымдық профильдер.
Топтама: «провайдер А» -ға ойын бойынша 300 ескертпе орнына бір инцидент.
SLO-саналылық: егер SLO/бизнес шегі әсер етсе ғана.
Супрессия: Бір labels-жиынтыққа максималды T минутына алерт N.

9) Конвейер: онлайн және оффлайн

Онлайн: Flink/Spark Streaming/CEP - минуттық терезелер, watermarks, дедупликация, демпотенттік.
Офлайн: тарих жылына арналған бэктесттер, «синтетикалық» инциденттерді инжекциялау, кандидаттарды салыстыру.
ModelOps: ережелер/үлгілерді (MAJOR/MINOR/PATCH), ережелер үшін shadow/canary және rollback нұсқалары.

10) Құпиялылық, этика, комплаенс

Фичтер мен алерталардағы Zero-PII; идентификаторлар орнына белгілер.
RG/AML: жеке арналар мен қолжетімділіктер; мәтін redaction.
Bias: сезімтал өлшемдер бойынша шашыраңыз (ел/әдіс/құрылғы) - аномалияны кемсітушілікке айналдырмаңыз.
Legal Hold/DSAR: детекция/шешімдер тарихын сақтау - WORM-лог.

11) iGaming кейстері (дайын үлгілер)

Төлемдер/PSP

Детекция: 'success _ rate _ deposits _ 5m ↓' төмен baseline_28d 3 σ, растау 3/5 терезе → P1.
RCA: 'psp, country, method'; кезектерді/ретрайлерді тексеру.

Ойын провайдерлері

«rounds _ per _ min» провайдері А <60% rolling_quantile (0. 1) 28д → P1 үшін.
Әрекет: А ойындарының тілдерін жасыру, провайдерге хабарлау, лоббиге ауысу.

RG

Детекция: 'high _ risk _ share' ↑ на> 3 п.п. 10 минут ішінде B → P2 брендінде.
RCA: кампаниялар/бонустар, жаңа құрылғылардың көтерілуі, гео-ауысу.

Антифрод

Детекция: 'chargeback _ rate _ 60m> μ + 3 σ' И 'new _ device _ share ↑' → P1.
Әрекет: шығаруға арналған скоринг/лимиттерді қатаңдату.

12) Артефактілер мен шаблондар

12. 1 YAML ережелері (онлайн)

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12. 2 офлайн-бэктест

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12. 3 RCA инцидент паспорты

Оқиға: drop rounds @ provider A

Кезең: 2025-11-01 18: 10-18: 35 (Europe/Kyiv)

Root-node: `games. engine. provider_A` (change-point @18:12)

Аффект: `lobby_clicks ↓`, `rounds_per_min ↓ 45%`, `GGR/min ↓ 28%`

Контраргументтер: payments OK, PSP OK, FX/stats қалыпты

Әрекеттер: hide tiles, провайдер байланысы, мәртебе баннері

Нәтиже: қалпына келтіру @ 18:34; жоғалтудың алдын алды X

13) Процесс жетістігінің метрикасы

Precision/Recall/F1 инциденттер бойынша P1/P2 (домен иелерінің белгілеуі).
ATTD/MTTR минутпен (медиана/р90).
Noise ↓: − X% «жалған түнгі» дабылдар, ≤ Y ескертулер/ауысым.
RCA-time: бастапқы себептерге дейінгі уақыт медианы.
Business saved: ұсталған депозиттерді/раундтарды бағалау.
Coverage: бақылаудағы күрделі жолдардың 95% ≥.

14) Процестер және RACI

Domain Owners (R) - ережелер/базалық сызықтар/инциденттерді белгілеу.
Data Platform/Observability (R) - детекция, сақтау, SLO қозғалтқышы.
ML Lead (R) - аномалиялар, калибрлеу, fairness модельдері.
SRE/SecOps (R) - SOAR/PagerDuty интеграциясы, оқыс оқиғалар.
CDO/DPO (A) - құпиялылық/этика саясаты, Zero-PII.
Product/Finance (C) - SLO шектері және бизнес басымдықтары.

15) Енгізу жол картасы

0-30 күн (MVP)

1. Сыни жолдар: payments, game_rounds, freshness ingest.
2. Сағаттар/күндер және негізгі өлшемдер бойынша базалық желілер (ел/бренд/psp/провайдер).
3. Қарапайым детекторлар: EWMA/robust z-score + гистерезис.
4. Алерт арналары және 3 runbook 'a (төлемдер/ойындар/DQ).
5. 3-6 ай тарихқа бектесттер; тосын оқиғаларды белгілеу.

30-90 күн

1. Change-points, seasonal quantiles, мультимодальды қатарлар.
2. көп өлшемді кейстер үшін Isolation Forest/LOF; shadow режимі.
3. Тәуелділіктің RCA-бағаны және жартылай автоматты атрибутика.
4. SLO-саналы табалдырықтар; suppression/grouping; автотолтырылған тикеттер.

3-6 ай

1. Champion-Challenger ережелері/модельдері; табалдырықтардың авто-тюнингі.
2. Қол қойылған веб-хуктері бар сыртқы интеграциялар (провайдерлер/PSP).
3. «MTTR/түсімге тәуекелдердің үлесі» есептері; тоқсандық гигиена-сессиялар.
4. Даулы корреляцияларға арналған Causal-эксперименттер (A/B, Granger, аспаптық айнымалылар).

16) Қарсы үлгілер

Барлық елдерге/сағаттарға/арналарға ортақ «көзбен шолу» шегі.
Маусымдық игнор/акциялар → Жалған тәуекелдердің «дауылы».
Бэктесттер мен оқыс оқиғаларды белгілеу жоқ - оңтайландыратын ештеңе жоқ.
Стратификациясыз корреляцияларды іздеу/partial corr → жалған себептер.
PII бар логтар/алерттар, жалпы арналардағы скриншоттар.
«Мәңгілік» ережелер ревизиясыз және иесіз.

17) Байланысты бөлімдер

Деректер ағынынан алерттар, DataOps-практикасы, API аналитикасы және метрикасы, Аудит және нұсқалылық, MLOps: модельдерді пайдалану, Қолжетімділікті бақылау, Қауіпсіздік және шифрлау, Деректерді сақтау саясаты, Бейімділікті төмендету.

Жиынтығы

Аномалиялар мен корреляцияларды талдау - бұл «ML сиқыры» емес, инженерлік жүйе: дұрыс контекст және маусымдық, ережелер мен модельдердің гибриді, қатаң сапа өлшемдері және RCA басқарады. iGaming-те мұндай жүйе MTTR-ді төмендетеді, түсімді қорғайды және ойыншылар мен реттеушілердің сенімін сақтайды - құпиялылықты бұзбай.