Analiza anomaliilor și corelațiilor

1) De ce este iGaming

• Detectează variațiile timpurii (înainte ca KPI-urile și veniturile să scadă în rapoarte).
• Distinge eșecurile de sezonalitate/promoții/turnee.
• Găsește cauze rădăcină (RCA) în loc de „tratarea simptomelor”.
• Respectă confidențialitatea și etica (RG/AML) fără a da PII.

2) Tipologia anomaliei

Punct: un singur vârf/dip (ex. spike PSP erori).
colectiv: secvență de valori atipice (degradare lungă).
contextual: normal noaptea, anormal în timpul zilei (în funcție de context: oră/țară/canal).
Schimbarea modului/tendinței (schimbarea punctului): nivelul, varianța, sezonalitatea s-au schimbat dramatic.
Structural: spike în omisiuni/duplicate, schema de derivă.
Cauză și efect: schimbarea nodului vecin (PSP/furnizor) „a întors” rândul nostru.

3) Pregătirea datelor și contextul

Calendar și sezonalitate: weekenduri/vacanțe/turnee/promoții → linii de bază individuale.
Straturi de agregare: 1-min/5-min/oră, după țară/marcă/furnizor/dispozitiv.
Normalizare: pe cap de locuitor (per jucător/sesiune), la ora zilei, de FX.
Caracteristici de timp: rulare medie/std, EWMA, lag-uri, ziua săptămânii, „minute pentru a tăia-off”.
Calitate: filtrați evenimentele/duplicatele târzii, eliminați erorile de fus orar.

4) Metode de detectare (simplu de hibrid)

Statistici și serii de timp

Scor z robust (mediană/IQR), EWMA, descompunerea STL (tendinţă/sezon/rămânere).
CUSUM/ADWIN - sensibil la schimbarea medie/de dispersie.
Schimbarea punctelor (de exemplu, PELT/BOCPD): fixați punctele de schimbare a modului.
Profet/ETS - previziune + coridor de încredere → emisii în afara intervalului.

Multidimensional/densitate

Izolation Forest, LOF, One-Class SVM - atunci când există multe semne (PSP, geo, canal, dispozitiv).
Autoencoder (reconstrucție/eroare) pentru modele complexe.

Fluxuri online

Ferestre glisante, schite cantitate, histerezis EWMA +; contabilizarea filigranelor și a datelor târzii.
„Praguri duble” pentru a suprima saritura.

Hibrid

Reguli de domeniu (SLO-conștient) + statistici/ML → precizie mai mare și explicabilitate.

5) Calitatea de detectare: cum se măsoară

Precision/Recall/F1 pentru incidente marcate.
ATTD (Timpul mediu de detectat) și TTR (timpul până la normalizare).
Prejudecată de durată: penalizare pentru „clipire” (intrări/ieșiri frecvente din anomalie).
Măsurători ex-post de afaceri: „câte runde/depozite salvate”, „câte P1s prevenite”.
Stabilitate: proporția de alarme false suprimate; p95 „nopţi liniştite”.

6) Corelație, cauzalitate și capcane

Corelație ≠ cauzalitate: un șofer comun (stock/extern down) poate „conduce” ambele valori.
Corelație parțială (condiționată), Informații reciproce (MI) - atunci când legăturile sunt neliniare.
Cauzalitatea Granger - un rând ajută la prezicerea celuilalt.
DAG/descoperire cauzală - ipoteze despre direcția de influență.
Paradoxul lui Simpson: agregate „minciună” fără stratificare (țară/canal/dispozitiv).
Scurgere: semnele care conțin informații viitoare dau motive false.

7) Analiza cauzei rădăcinii (RCA)

Grafic dependență: furnizorii de jocuri → lobby-uri → pariuri → plăți/PSP → KPI.
Scanare de măsurare: Cine "a rupt'? (țară, marcă, furnizor, metodă de plată, activ fix).
Grupuri de contrast: în cazul în care există o anomalie/nu → raportul risc relativ/cote.
Shapley/Atribuirea caracteristicilor pentru modelele de anomalii multivariate.
Ce-dacă scenarii: Dezactivați segmentul suspect - este KPI restaurat?

8) Reducerea zgomotului și prioritizarea

Histerezis: „3 din 5 ferestre sparte” pentru confirmare.
Praguri dinamice: bază ± k· σ, cantitate 5/95, profile sezoniere.
Grupare: un incident pe „furnizor A” în loc de 300 de alerte pe joc.
SLO-conștientizare: alertă numai dacă este afectat pragul SLO/de afaceri.
Suprimarea: N alerte într-un maxim de minute T pe set de etichete.

9) Transportor: online și offline

Online: Flink/Spark Streaming/CEP - ferestre minute, filigrane, deduplicare, idempotență.
Offline: backtests pentru anul istoriei, injectarea incidentelor „sintetice”, compararea candidaților.
ModelOps: regula/modelul versioning (MAJOR/MINOR/PATCH), umbra/canar, și rollback pentru reguli.

10) Confidențialitate, etică, conformitate

Zero-PII în fișe și alerte; jetoane în loc de identificatori.
RG/AML: canale și accesări individuale; text de redactare.
Bias: Verificați variația măsurătorilor sensibile (țară/metodă/dispozitiv) - nu transformați anomalia în discriminare.
Legal Hold/DSAR: stocarea istoricului detectărilor/deciziilor - jurnal WORM.

11) cazuri iGaming (șabloane gata făcute)

Plăți/PSP

Detectare: 'success _ rate _ deposits _ 5m ↓' mai jos baseline_28d cu 3 σ, confirmarea 3/5 ferestre → P1.
RCA: secțiunea „psp, țară, metodă”; verificarea cozilor/retraselor.

Furnizori de jocuri de noroc

Detectare: 'rounds _ per _ min' of provider A <60% of the rolling_quantile (0. 1) pentru 28d → P1.
Acțiune: ascunde Joc O gresie, notifica furnizorul, comuta lobby.

RG

Detectare: 'high _ risk _ share' ↑ de> 3 pp în 10 min în marca B → P2.
RCA: campanii/bonusuri, supratensiuni în dispozitive noi, geo-shift.

Antifraudă

Detectare: 'chargeback _ rate _ 60m> μ + 3 σ' Și 'new _ device _ share ↑' → P1.
Acțiune: strângeți limitele de scoring/retragere.

12) Artefacte și modele

12. 1 Reguli YAML (online)

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12. 2 Config offline backtest

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12. 3 Pașaport incident RCA

Incident: drop rounds @ provider A

Perioada: 2025-11-01 18: 10-18: 35 (Europa/Kiev)

Root-nod: 'jocuri. motor. provider_A' (change-point @ 18:12)

Аффект: 'lobby _ clicks ↓', 'rounds _ per _ min ↓ 45%', 'GGR/min ↓ 28%'

Contraargumente: plăți OK, PSP OK, FX/statistici normale

Acțiuni: ascunde dale, contact furnizor, banner de stare

Rezultat: recuperare @ 18:34; pierderi prevenite X

13) Procesul de succes Metrics

Precision/Recall/F1 privind incidentele P1/P2 (marcarea de către proprietarii de domenii).
ATTD/MTTR în câteva minute (mediană/p90).
Noise↓: − X% din alarmele „noapte falsă”, ≤ alerte Y/schimbare.
Timpul RCA: timpul median până la cauza rădăcinii.
Afaceri salvate: evaluarea depozitelor/rundelor reținute.
Acoperire: ≥ 95% din căile critice sub observație.

14) Procese și RACI

Proprietarii de domenii (R) - reguli/linii de bază/marcarea incidentelor.
Platforma de date/Observabilitate (R) - motor de detectare, stocare, SLO.
ML Lead (R) - modele de anomalie, calibrare, corectitudine.
SRE/SecOps (R) - integrări SOAR/PagerDuty, incidente.
CDO/DPO (A) - politica de confidențialitate/etică, Zero-PII.
Produs/Finanțe (C) - praguri SLO și priorități de afaceri.

15) Foaia de parcurs privind implementarea

0-30 zile (MVP)

1. Căi critice: plăți, game_rounds, prospețime ingera.
2. Linii de bază pe oră/zi și dimensiuni cheie (țară/marcă/psp/furnizor).
3. Detectoare simple: EWMA/scor z robust + histerezis.
4. Canale de alertă și 3 runbook 'a (plăți/jocuri/DQ).
5. Backtests pentru 3-6 luni de istorie; marcarea incidentelor.

30-90 zile

1. Puncte de schimbare, cantităţi sezoniere, serii multimodale.
2. Izolation Forest/LOF pentru cazuri multidimensionale; modul umbră.
3. Grafic de dependență RCA și atribuire semiautomată.
4. Praguri conștiente de SLO; suprimarea/gruparea; bilete de completare automată.

3-6 luni

1. Champion-Challenger reguli/modele; praguri de reglare automată.
2. Integrări externe (furnizori/PSP) cu cărți web semnate.
3. Rapoarte privind „contribuția de alertă la MTTR/venituri”; sesiuni trimestriale de igienă.
4. Experimente cauzale pentru corelații controversate (A/B, Granger, variabile instrumentale).

16) Anti-modele

Prag de ochi comun tuturor țărilor/ore/canale.
Ignorarea sezonalității/stocurilor → o furtună de alerte false.
Nu există backtest-uri și marcarea incidentelor - nu există nimic de optimizat.
Urmărirea corelațiilor fără stratificare/corr parțial → cauze false.
Jurnale/alerte cu PII, capturi de ecran în canale partajate.
Reguli „eterne” fără revizuire și proprietar.

17) Secțiuni conexe

Alerte privind fluxul de date, practici DataOps, API-uri de analiză și metrică, audit și versioning, MLOps: model de exploatare, control al accesului, securitate și criptare, politici de păstrare a datelor, reducerea prejudecăților.

Total

Analiza anomaliei și a corelației nu este „magie ML”, ci un sistem de inginerie: context corect și sezonalitate, un hibrid de reguli și modele, măsurători stricte ale calității și RCA gestionat. În iGaming, un astfel de sistem reduce MTTR, protejează veniturile și păstrează încrederea jucătorilor și a autorităților de reglementare - fără încălcări ale vieții private.