← Makalelere geri dön
February 19, 2026
5 dakikalık okuma

İşlem Botu Koruması için Anomali Tespiti: Z-Score'dan Transformer'a

İşlem Botu Koruması için Anomali Tespiti: Z-Score'dan Transformer'a
#algo trading
#anomali tespiti
#makine öğrenimi
#risk yönetimi
#Isolation Forest
#LOF
#spoofing

Kripto borsalarında bir işlem botu çalıştıran herkes şu hissi bilir: Bot bir hafta boyunca mükemmel çalışır, ardından 30 saniyede bir haftalık kârı siler. Bir borsada anlık çöküş. Emir defterinde sahte bir duvar. Tasfiye kaskadı. Ya da borsa veri yerine çöp döndürür.

Tüm bu durumların ortak bir noktası var — bunlar anomali. Botunuz bunları tanıyamazsa, er ya da geç onların kurbanı olur.

Kripto Ticarette Anomali Ne Sayılır

Anomalilerin peşine düşmeden önce ne aradığımız konusunda mutabık olmamız gerekir. Makine öğrenimi üç tip ayırt eder ve her üçü de kripto piyasalarında her gün yaşanır.

Nokta anomalileri — normdan keskin biçimde sapan izole olaylar. Ortalamadan 50 kat fazla hacimli bir mum. Binance'te BTC/USDT spreadinin %0,5'e fırlaması. Piyasa yapıcı bot için her böyle olay potansiyel bir tuzaktır: sahte bir fiyattan pozisyon açmak ya da tüm marjı yiyen bir kayma yaşamak.

Kolektif anomaliler — tek tek normal görünen ama bir arada sorun sinyali veren olay dizisi. Klasik örnek spoofing'dir: birisi birkaç dakika boyunca büyük limit emirleri verir ve iptal eder. Her tek emir olağandır ama 100:1 emir/işlem oranıyla "ver-iptal-ver-iptal" deseni manipülasyondur — emir defteri derinliğine güvenen bir bot var olmayan likidite üzerinde işlem yapar.

Bağlamsal anomaliler — yanlış bağlamdaki normal bir değer. Londra seansına özgü Bitcoin işlem hacmi, ancak Pazar günü UTC 03:00'te gözlemleniyor. Bağlamı göz önünde bulundurmadan bu tür anomaliler görünmezdir — ve bu tür anomaliler en sık temel dedektörlerin gözünden kaçar.

İşlemdeki Anomali Türleri İşlem verilerindeki üç ana anomali türünün görselleştirilmesi: nokta sıçramaları, kolektif desenler ve bağlamsal sapmalar.

Gürültü ve Anomali: Bağlam Sorunu

Anomali yalnızca "tuhaf veri" değildir. Bilgi taşıyan bir sapmadır. Şunları ayırt etmek çok önemlidir:

  • Gürültü: Normal piyasa rejiminin parçası olan rastgele dalgalanmalar.
  • Sürüklenme: Piyasa koşullarındaki kademeli kayma (örn. düşük volatiliteli geceden aktif sabaha geçiş).
  • Anomali: Beklenen desenin ani ihlali.

Veri Varyasyon Türleri Zararsız gürültü, kalıcı sürüklenme ve tehlikeli anomaliler arasındaki farkı belirlemek her dedektörün temel zorluğudur.

Sorunların %80'ini Çözen Basit Yöntemler

Her şeyin sinir ağlarıyla çözülmesi gerekmez. Çoğu işlem botu için üç temel dedektör yeterlidir.

Z-Score: Hızlı Aykırı Değer Filtresi

Z-Score, mevcut değerin kayan ortalamadan kaç standart sapma uzaklaştığını gösterir. Mikrosaniyeler içinde hesaplanır, her zaman diliminde çalışır.

Üç görev için kullanırız: anormal hacim filtreleme (Z-Score > 3 — spread genişletme ya da fiyat alımını duraklatma sinyali), spread izleme (anormal bid-ask genişlemesi genellikle keskin hareketlerden önce gelir) ve vadeli işlem fonlama oranı (aşırı değerler olası bir tasfiye kaskadı konusunda uyarır).

Z-Score İstatistiksel Yöntemi Z-Score, bir noktanın ortalamadan kaç standart sapma uzakta olduğunu ölçerek aşırı olayları tanımlar. ±3σ'yı aşan değerler çoğu işlem sisteminde aykırı değer olarak kabul edilir.

Önemli sınırlama: Kripto piyasalarının kalın kuyruklu dağılımları vardır. Normal dağılıma göre bir milyon yılda bir yaşanması gereken bir olay (6σ) kriptoda aylık gerçekleşir. Bu nedenle Z-Score kaba bir anomali filtresidir, kesin bir karar değil.

Seviye Kayma Dedektörü: Piyasa Rejim Değiştirdiğinde

Art arda iki kayan pencere alır ve ortalamalarını karşılaştırırız. Fark eşiği aşarsa — bir seviye kayması gerçekleşmiştir. Piyasa yapıcı stratejiler kararlı bir piyasada kâr eder ve keskin hareketlerde zarar eder. Hacim ve volatilite üzerindeki Seviye Kayma Dedektörü, rejim değişikliğini fiyatta belirginleşmesinden dakikalar önce uyarır.

Aynı anda birkaç metriğe uygularız: ortalama işlem büyüklüğü, ilk 5 seviyedeki emir defteri derinliği, birim zamandaki işlem sayısı. Seviye Kayma en az iki metrikte tetiklenirse — bot savunma moduna geçer.

Volatilite Kayma Dedektörü: Fırtınanın Hissedilmesi

Benzer bir yaklaşım, ancak ortalamalar yerine standart sapmalar karşılaştırılır. Volatilitedeki ani artış parametrelerin yeniden gözden geçirilmesi sinyalidir. İlginç bir desen: anormal düşük volatilite çoğunlukla patlayıcı bir hareketi önceler. Volatilite Kayma Dedektörü her iki durumu da — sıkışma ve genişlemeyi — yakalar.

Rejim Kayma Tespiti Seviye Kayma ve Volatilite Kayma dedektörleri, farklı işlem parametreleri gerektiren piyasa davranışındaki ani yapısal değişiklikler olan "Rejim Değişikliklerini" tanımlamak için temel araçlardır.

HBOS: Hızlı Çok Boyutlu Analiz

Karmaşık ML maliyeti olmadan 10'dan fazla göstergeyi aynı anda izlemeniz gerektiğinde, HBOS (Histogram Tabanlı Aykırı Değer Seçimi) en iyi seçimdir. Özellik bağımsızlığını varsayar ve her biri için bir histogram oluşturur. Anomali skoru tüm histogramlardaki ters yoğunlukların çarpımıdır.

HBOS Algoritması İlkesi HBOS, LOF gibi mesafeye dayalı yöntemlerden önemli ölçüde daha hızlıdır; bu da onu çok boyutlu durum vektörlerinin yüksek frekanslı filtrelenmesi için uygun kılar.

Makine Öğrenimi: İstatistikler Yetmediğinde

Temel yöntemler aynı anda tek bir göstergeyle çalışır. Ancak gerçek anomaliler çoğunlukla göstergelerin olağandışı bir kombinasyonu olarak ortaya çıkar: hacim normal, spread normal, ama hacim + spread + fiyat değişim hızı + emir defteri dengesizliği birlikte — anomalidir. İşte burada ML gerekir.

ML Anomali Tespiti Hiyerarşisi Anomali tespit yöntemlerinin yapılandırılmış manzarası: klasik denetimsiz algoritmalardan derin öğrenme mimarilerine.

Isolation Forest: Üretim için En İyi Denge

Tüm ML anomali tespit yöntemleri arasında Isolation Forest, işlem sistemlerine en iyi uyan yöntemdir. Algoritma, özellik uzayını rastgele bölen karar ağacı toplulukları oluşturur. "Nadir ve farklı" olan anomalik noktalar daha az bölünmede izole edilir.

Neden Isolation Forest? Etiketli veri gerektirmez — kripto piyasalarında anomalileri etiketlemek neredeyse imkânsızdır çünkü her anlık çöküş benzersizdir. Milisaniyelik hızlı çıkarım neredeyse gerçek zamanlı kullanımı mümkün kılar. Ve üretim için kritik olan: tahminler SHAP değerleri üzerinden açıklanabilir — yalnızca bir anın anomalik olduğunu bilmekle kalmaz, neden olduğunu da anlarsınız.

Bitcoin verisi üzerinde Isolation Forest, 2021'de Tesla'nın BTC ödemelerini reddetmesiyle yaşanan volatilite sıçraması gibi açık anomalileri değil, ince olanları da tespit etti — fiyat hareketlerinin hacimle desteklenmediği ve dış manipülasyona işaret eden dönemler. Spoofing analizinde SHAP, temel göstergelerin dengesiz emir defteri teklifleri ve anormal yüksek iptal aktivitesi olduğunu gösteriyor.

Isolation Forest Kavramı Isolation Forest algoritması uzayı rastgele bölerek çalışır: aykırı değerler, yoğun kümelerdeki noktalardan önemli ölçüde daha az bölünmede izole edilir.

LOF: Çoklu Borsa İzleme için En İyi Seçim

Yerel Aykırı Değer Faktörü, bir noktanın anomaliliğini yerel yoğunluğunu komşularınınkiyle karşılaştırarak değerlendirir. LOF, Isolation Forest ve One-Class SVM'yi kripto verisi üzerinde karşılaştıran bir araştırma (Springer, 2024), LOF'un en etkili yöntem olduğunu buldu — en az yanlış pozitifle gerçek anomalileri buldu ve hem Bitcoin hem de Dogecoin üzerinde kararlı performans sergiledi.

LOF neden çoklu borsa altyapısı için önemlidir? Farklı borsalardaki veriler farklı "yoğunluğa" sahiptir — Binance saniyede binlerce işlem görürken, niş bir borsa onlarca görür. Z-Score gibi global yöntemler niş borsalarda yanlış pozitif üretir ya da büyük borsalardaki anomalileri kaçırır. LOF yerel bağlama uyum sağlar.

LOF Algoritması Görselleştirmesi LOF bir noktanın yerel yoğunluğunu komşularıyla karşılaştırır. Bu, global veri desenleriyle tutarlı olsalar bile "yerel" olarak anomalik olan aykırı değerleri bulmasını sağlar.

Sınırlama, nokta sayısına göre ikinci dereceden karmaşıklıktır. Tick düzeyinde gerçek zamanlı veriler için çok yavaştır, ancak 100'den fazla borsa genelinde dakika toplamaları için idealdir.

Otokodlayıcılar: Derin Emir Defteri Analizi

Otokodlayıcı, verileri kompakt bir temsile sıkıştıran ve yeniden oluşturan bir sinir ağıdır. "Normal" verilerle eğitilmiş olarak, yüksek yeniden yapılandırma hatası anomali sinyali verir.

Emir defteri analizi için bu en güçlü araçtır. 20 alış ve 20 satış seviyeli bir emir defteri, saniyede yüzlerce kez güncellenen 40 boyutlu bir vektördür. LSTM Otokodlayıcı yalnızca mevcut durumu değil, dinamikleri de — emir defterinin son N tick'te nasıl değiştiğini — dikkate alır. Hibrit "LSTM Otokodlayıcı + One-Class SVM" yaklaşımı endişeleri ayırır: sinir ağı özellik çıkarımını üstlenirken, klasik ML karar almayı üstlenir. Ana dezavantaj hesaplama maliyetidir: gerçek zamanlı çıkarım GPU gerektirir.

Otokodlayıcı Darboğaz Mimarisi Otokodlayıcılar normal verinin sıkıştırılmış "gizli" bir temsilini öğrenir. Anomaliler doğru şekilde yeniden yapılandırılamaz ve bu da tespit için kullanılan yüksek bir hata skoruna yol açar.

Kademeli Mimari: Her Şeyi Bir Araya Getirmek

Hiçbir yöntem tüm sorunları çözmez. Hızlı yöntemler karmaşık anomalileri kaçırır. Doğru yöntemler gerçek zaman için çok yavaştır. Çözüm, her sonraki katmanın öncekinin kaçırdığını yakaladığı kademeli bir mimaredir.

Kademeli Koruma Mimarisi Çok katmanlı anomali tespit mimarisi: milisaniyelik sert sınırlardan arka plan derin öğrenme analizine.

Katman 1 — Hızlı Yol (1 ms'nin altında). Hacim, spread ve fiyat değişimi üzerinde Z-Score. Süreklilik kontrolü. Sert sınırlar. Tetiklendiğinde — anlık işlem duraklatma. Bu katman anlık çöküşlere, API hatalarına ve kaba manipülasyonlara karşı korur. Dış bağımlılıklar olmadan botun ana döngüsünde uygulanır.

Katman 2 — Neredeyse Gerçek Zamanlı (1–100 ms). Birleşik özellikler üzerinde Isolation Forest. Seviye Kayma ve Volatilite Kayma dedektörleri. Tetiklendiğinde — işlem modu geçişi, parametre ayarlaması. Paralel bir iş parçacığında çalışır.

Katman 3 — Arka Plan Analizi (1–60 saniye). Çoklu borsa verisi üzerinde LOF. Emir defteri durumları üzerinde LSTM Otokodlayıcı. Mevsimsel ayrıştırma artık analizi. Tetiklendiğinde — uyarılar, strateji parametresi ayarlamaları.

Katman 4 — Toplu Analiz (saatlik/günlük). Wash trading tespiti için DBSCAN. Çapraz borsa korelasyon izleme için PCA. Tam model yeniden eğitimi. Çıktı — raporlar, model güncellemeleri, önceki katmanlar için eşik yeniden kalibrasyonu.

Her katman bağımsız çalışır. Katman 3 çökerse — katman 1 ve 2 botu korumaya devam eder. Hata toleransı ve zarif bozulma, herhangi bir işlem altyapısının zorunlu özellikleridir.

Pratik Öneriler

Üretimden birkaç ders.

Basit başlayın. Z-Score + Seviye Kayma + Volatilite Kayma bir günde uygulanabilir. Bu, anormal piyasa koşulları nedeniyle yaşanan kayıp senaryolarının büyük çoğunluğunu karşılar. GPU kümesi daha sonra gelebilir.

Contamination parametresi en önemli hiperparametredir. Isolation Forest'te beklenen anomali oranını tanımlar. Kripto piyasaları için çift ve borsaya bağlı olarak 0,01–0,05 kullanırız. Çok düşük — gerçek anomalileri kaçırırsınız. Çok yüksek — yanlış pozitifler ticareti felç eder.

Sabit eşikler yerine uyarlamalı eşikler. Kripto piyasaları durağan değildir. Ocak'ta işe yarayan eşik Mart'ta yanlış pozitifler üretir. Eşikleri güncellemek için EWMA kullanın ya da modelleri kayan pencere üzerinde periyodik olarak yeniden eğitin.

Tüm anomalileri kaydedin. Otomatik tepki vermiyorsanız bile — etiketi bağlamıyla birlikte kaydedin. Bir ay içinde denetimli modeller eğitmek ve hangi anomalilerin kayıplardan önce geldiğini analiz etmek için bir veri setiniz olur.

Gerçek olaylar üzerinde test edin. Tarihsel anomalilerden oluşan bir koleksiyon oluşturun: Mayıs 2021 anlık çöküşü, FTX tasfiye kaskadı, LUNA çöküşü. Her yeni dedektörü bu senaryolardan geçirin. Bilinen olayları yakalayamıyorsa — işe yaramaz.

Sıradaki Ne

İzlemeye değer üç yön.

Emir defterleri için Transformer tabanlı modeller. Son araştırmalar, Limit Emir Defteri verileri üzerinde Transformer otokodlayıcı + OC-SVM'nin spoofing tespiti için önceki tüm yaklaşımları önemli ölçüde geride bıraktığını gösteriyor. Yüksek frekanslı EUR/USD verisi üzerinde (315 milyon kayıt) Aşamalı Kayan Pencere Transformer 0,93 doğruluk, 0,91 F1, 0,95 AUC-ROC elde etti — Random Forest, LSTM ve CNN'den önemli ölçüde daha iyi.

LOB için Transformer Çok başlıklı dikkat mekanizmasına sahip Transformer mimarileri, yüksek frekanslı Limit Emir Defteri verilerindeki karmaşık zamansal desenleri tanımlamada olağanüstü yetenekler sergilediğini kanıtlıyor.

Sentetik anomali üretimi için GAN'lar. Temel zorluklardan biri etiketli verinin yokluğudur. GAN'lar denetimli modelleri eğitmek için gerçekçi manipülasyon senaryoları üretebilir. 3 ms'nin altında gecikme ve saniyede 150.000 işlem kapasitesiyle %94,7 doğruluk elde eden mimariler zaten mevcuttur.

İşlem Anomalileri için GAN Üretici Çekişmeli Ağlar (GAN'lar), gerçekçi sentetik anomaliler oluşturarak veri setlerini zenginleştirmek için kullanılabilir ve işlemdeki kritik etiket kıtlığı sorununu çözer.

Değişim Noktası Tespiti (CPD). Yalnızca aykırı değerleri aramak yerine, CPD sinyalin istatistiksel özelliklerinin değiştiği tam anı tanımlamaya odaklanır. Bu, piyasa yapma rejimleri arasında geçiş yapmak için kritiktir (örn. ortalamaya dönüşten trend takibine).

Değişim Noktası Tespiti Değişim Noktası Tespiti, zaman serisi verilerindeki yapısal değişimleri tanımlar ve farklı piyasa rejimleri arasındaki sınırı vurgular.

Anomaliler isteğe bağlı bir özellik değildir. Bu, algo ticaretinin kumara dönüşmesini engelleyen temeldir. Ne kadar erken inşa ederseniz, piyasanın size öğretmesi için o kadar az pahalı ders gerekir.

Kaynaklar

  1. Isolation Forest kullanarak kripto para piyasalarında anomali tespiti
  2. LOF: Yüksek boyutlu uzayda yerel aykırı değerlerin tanımlanması
  3. Anomali Tespiti için Isolation Forest (Sklearn Dokümantasyonu)
  4. PyOD: Aykırı Değer Tespiti için Kapsamlı Python Araç Kutusu
  5. Limit Emir Defteri anomali tespiti için Transformer tabanlı modeller
  6. Kripto Para Biriminde Etik Sorunlar ve Piyasa Manipülasyonu

Atıf

@software{soloviov2026anomalydetectionalgotrading,
  author = {Soloviov, Eugen},
  title = {Anomaly Detection for Trading Bot Protection: From Z-Score to Transformer},
  year = {2026},
  url = {https://marketmaker.cc/tr/blog/post/anomaly-detection-algotrading},
  version = {0.1.0},
  description = {Kripto algo ticaretinde hangi anomali tespit yöntemleri gerçekten işe yarıyor, kademeli koruma mimarisi nasıl oluşturulur ve bu neden algo ticaretinin kumara dönüşmesini engelleyen temel olmak zorundadır.}
}
Sorumluluk Reddi: Bu makalede sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır ve finansal, yatırım veya ticaret tavsiyesi niteliği taşımaz. Kripto para ticareti önemli bir kayıp riski içerir.

Yazarlar

Eugen Soloviov
Eugen Soloviov

Trading-systems engineer

Trading-systems engineer building bots since 2017: cross-exchange arbitrage (connected up to 30 venues), cointegration-based pairs arbitrage across spot and futures, scalping, news and sentiment-driven strategies, trend algorithms, and portfolio management and balancing algorithms. Also builds sub-millisecond order execution, big-data warehouses, backtesting engines, AI agents, and trading interfaces (incl. open-source profitmaker.cc). Stack: JS/TS, Python, Rust/Zig/Go, DevOps, backend, frontend, architecture.

Daha Fazla Oku

Fonlama Oranları Kaldıracınızı Öldürür: Neden PnL×50x Bir Kurgu
Şimdi Oku →

Fonlama Oranları Kaldıracınızı Öldürür: Neden PnL×50x Bir Kurgu

Mar 9, 2026 5 min read
Kayıp-Kâr Asimetrisi: Depozitonuzu Öldüren Matematik
Şimdi Oku →

Kayıp-Kâr Asimetrisi: Depozitonuzu Öldüren Matematik

Mar 1, 2026 5 min read
Kendi Algoritmamızın İçinde: HRP + Long/Short + CVaR ve Hull-White
Şimdi Oku →

Kendi Algoritmamızın İçinde: HRP + Long/Short + CVaR ve Hull-White

May 25, 2026 5 min read
Newsletter

Piyasanın Önünde Olun

Özel yapay zeka ticaret içgörüleri, piyasa analizi ve platform güncellemeleri için bültenimize abone olun.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.