異常和相關性分析

1）為什麼是iGaming

• 及早發現偏差（在KPI和收入在報告中下降之前）。
• 將中斷與季節性/股票/錦標賽區分開來。
• 找到根本原因（RCA）而不是「癥狀治療」。
• 遵守隱私和道德（RG/AML）而不分發PII。

2）異常類型學

點點（point）：單位峰值/失敗（例如,spike PSP錯誤）。
序列（集體）：一系列非典型值（長期降解）。
上下文（contextual）：夜間正常,白天異常（取決於上下文：小時/國家/頻道）。
模式/趨勢（變化點）變化：水平，方差，季節性發生了巨大變化。
結構：跳過/重復激增，計劃漂移。
因果關系：相鄰節點（PSP/提供商）的變化「扭轉」了我們的行。

3）數據生成和上下文

日歷和季節性：周末/假日/錦標賽/促銷→單獨的基線。
聚合層：1分鐘/5分鐘/小時，國家/品牌/提供商/設備。
正常化：每個播放器/會話,每天時間,FX。
時間Fichi： rolling mean/std, EWMA, lagi, week day,「分鐘到切斷」。
質量：過濾遲到的事件/復制,消除時間區錯誤。

4）檢測方法（從簡單到混合）

統計和時間序列

Robust z分數（中位/IQR），EWMA，STL分解（趨勢/seasonal/remain）。
CUSUM/ADWIN-對均值/方差偏移敏感。
更改點（例如PELT/BOCPD）：捕獲模式更改點。
Prophet/ETS-預測+信托走廊→間隔外的排放。

多維/致密性

Isolation Forest, LOF, One-Class SVM-當有很多特征（PSP、地理、通道、設備）時。
用於復雜模式的Autoencoder（重建/錯誤）。

在線流

滑動窗戶，量子草圖，EWMA+滯後；水廠核算和長期數據。
「Dual-thresholds」（進入或退出異常）以抑制鉆探。

混合動力車

域規則（SLO意識）+統計/ML →以上準確性和可解釋性。

5）檢測質量： 如何測量

Precision/Recall/F1標記事件。
ATTD （Average Time To Detect）和TTR（正常化前的時間）。
Duration bias：「閃爍」的處罰（頻繁進入/退出異常）。

後期業務指標： 「節省了多少回合/存款」，「防止了多少P1。」

穩定性：抑制虛假警報的比例；p95「安靜的夜晚」。

6）相關性，因果關系和陷阱

相關性≠因果關系：通用驅動程序（促銷/外部下降）可以「領先」兩個指標。
Partial correlation（條件），Mutual Information（MI）-當鍵是非線性的。
Granger causality（時間因果關系）-一行有助於預測另一行。
DAG/causal發現（帶有預測驗證）是影響方向的假設。
Simpson's paradox：無分層的「撒謊」聚集（國家/頻道/設備）。
泄漏：包含未來信息的特征提供了錯誤的原因。

7) Root-Cause Analysis (RCA)

成癮圖：遊戲提供商→遊說團體→投註→ 付款/PSP → KPI。
Scan在測量上：誰「崩潰了」？（國家、品牌、供應商、支付方法、操作系統）。
對比組：異常在哪裏/不存在→相對風險/賠率。
用於多維異常模型的Shapley/Feature屬性。
如果有的話：禁用可疑細分-KPI是否恢復？

8）降噪和優先級

磁滯：「5個窗口中有3個受損」供確認。
動態閾值：基線± k· σ，quantil 5/95，季節概況。
分組：每個遊戲「提供商A」發生一起事件，而不是300個警報。
SLO正念：只有在SLO/業務閾值受到影響時才會出現異常。
高壓：每個標簽集最多T分鐘的N級。

9）流水線： 在線和離線

在線：Flink/Spark Streaming/CEP-分鐘窗口,watermarks,重復數據消除,等效性。
離線：歷史年後盾，註入「合成」事件，候選人比較。
ModelOps：規則/模型（MAJOR/MINOR/PATCH）、影子/金絲雀和規則滾回。

10）隱私，道德，合規性

Fish和Alert中的Zero-PII；代幣而不是標識符。
RG/AML：單獨的頻道和訪問；文本的幹擾。
Bias：檢查敏感測量（國家/方法/設備）上的散布-不要將異常變成歧視。
Legal Hold/DSAR：存儲檢測/解決方案歷史記錄-WORM日誌。

11） iGaming Cases（現成的模板）

付款/PSP

檢測：「success_rate_deposits_5m ↓」下方baseline_28d 3 σ，確認3/5窗口→ P1。
RCA：「psp，country，method」切口；檢查隊列/轉發。

遊戲提供商

檢測：提供商A的'rounds_per_min' <60%（0.1）28d → P1。
行動：隱藏遊戲時間A，通知提供商，切換大廳。

RG

檢測：「high_risk_share」在B → P2品牌10分鐘內↑> 3個百分點。
RCA：活動/獎金，新設備的激增，地理轉變。

Antifrod

檢測：'chargeback_rate_60 m> μ+3 σ 'Y'new_device_share ↑ '→ P1。
行動：收緊得分/退出限制。

12）工件和模板

12.1 YAML規則（在線）

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12.2 Config離線備用

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12.3 RCA事件護照

事件： drop rounds@provider A

時期： 2025-11-01 18：10-18：35（Europe/Kyiv）

Root-node: `games.engine.provider_A` (change-point @18:12)

Аффект: `lobby_clicks ↓`, `rounds_per_min ↓ 45%`, `GGR/min ↓ 28%`

對立面： payments OK, PSP OK, FX/stats normal

活動： hide tiles,提供商聯系人,狀態標語

結果： 恢復@18：34；X防止損失

13）流程成功度量

Precision/Recall/F1事件P1/P2（域所有者標記）。
ATTD/MTTR在分鐘內（中位/p90）。
Noise↓：− X％的「假夜間」警報，≤ Y變量/變量。
RCA時間：根本原因的時間中位數。
業務保存：保留存款/回合估值。
Coverage：≥ 95%的關鍵路徑受到監視。

14）流程和RACI

域所有者（R）-規則/基線/事件標記。
Data Platform/Observability（R）是檢測，存儲，SLO引擎。
ML Lead（R）-異常模型，校準，公平。
SRE/SecOps（R）-與SOAR/PagerDuty，事件集成。
CDO/DPO（A）是隱私/道德政策Zero-PII。
產品/財務（C）-SLO閾值和業務優先級。

15）實施路線圖

0-30天（MVP）

1.關鍵途徑：payments，game_rounds，freshness ingest。
2.按小時/日和關鍵維度（國家/品牌/psp/提供商）排列的基線。
3.簡單檢測器：EWMA/robust z-score+磁滯。
4.Alerts頻道和3個運行手冊'a（付款/遊戲/DQ）。
5.歷史上3-6個月的後援；事件標記。

30-90天

1.改變點，季節quantiles，多模式行。
2.分離森林/多維案例的LOF；影子模式。
3.依賴性RCA圖和半自動歸因。
4.SLO意識閾值；suppression/grouping;自動填充的滴答聲。

3-6個月

1.Champion-Challenger規則/模型；自動調諧閾值。
2.帶有簽名網絡包的外部集成（提供商/PSP）。
3.報告「Alert對MTTR/收益的貢獻」；季度衛生會議。
4.有爭議的相關性的Causal實驗（A/B，Granger，工具變量）。

16）反模式

所有國家/時鐘/頻道通用的每眼閾值。
忽略季節性/股票→虛假的Alert的「風暴」。
沒有事件備份和標記-沒有什麼可以優化。
追求沒有分層/分組角度的相關性→虛假原因。
帶有PII的Logi/Alerta，共享頻道中的屏幕截圖。
「永恒」規則沒有修訂和所有者。

17）相關部分

來自數據流、DataOps實踐、API分析和指標、Audit and Version, MLOps：模型操作、訪問控制、安全和加密、存儲策略、減少偏見。

底線

異常和相關性分析不是「ML魔力」，而是工程系統：正確的上下文和季節性，規則和模型的混合體，嚴格的質量指標以及RCA驅動。在iGaming中，這樣的系統降低了MTTR，保護了收入，並保持了玩家和監管機構的信任-沒有侵犯隱私。