Anomaly Detection 2026: Fraud, Monitoring ve IoT için Üretim Mimarisi

Anomaly detection (anomali tespiti), 2026’da fintech fraud, sunucu ve uygulama izleme, üretim hattı kalite kontrol, IoT sağlık takibi gibi alanlarda aylık 14 milyar USD ekonomik etki yaratan kritik bir ML alanı (IDC AI Spend Report, 2026). Doğru tasarlanmış bir anomali tespit sistemi, fraud kayıplarını %70, planlanmamış kesinti süresini %48, üretim hattı hata oranını %63 azaltıyor. Buna rağmen birçok şirket hâlâ “eşik değerin üstüne çıkarsa alarm” mantığıyla çalışıyor — bu yöntemin hatalı alarm oranı %40-65.

2024-2026 arasında alanın en büyük dönüşümü transformer-tabanlı zaman serisi anomaly detection modelleri: TranAD, Anomaly Transformer ve foundation model temelli yaklaşımlar artık geleneksel Isolation Forest baseline’larını aşıyor. Bununla beraber üretim ortamlarında basit Isolation Forest hâlâ ilk tercih çünkü interpretability ve düşük operasyonel maliyet. Bu rehberde, modern anomaly detection algoritmalarını, üretim mimarisini ve gerçek senaryolardaki performans rakamlarını somut sayılarla aktarıyoruz.

Anomaly Tipleri

Doğru algoritma seçimi için önce hangi tip anomali ile uğraştığınızı netleştirmeniz şart. Saha pratiğinde aynı sistemde 3 tip de görülür — fraud detection’da hem point (yüksek tutar) hem contextual (gece saat 3’te) hem collective (1 dakikada 10 işlem) örüntüler iç içe.

• Point anomaly: Tek bir veri noktası normalden farklı (örn. 100 TL alışveriş yapan müşteri aniden 50.000 TL).
• Contextual anomaly: Bağlama göre anormal (örn. yaz aylarında karda satılan 5.000 mont).
• Collective anomaly: Tek başına normal, bir grup olarak anormal (örn. tek tıklama OK ama 10 dk içinde 100 tıklama → bot).
• Seasonal anomaly: Mevsimsel pattern’dan sapma.
• Trend anomaly: Uzun vadeli trend değişikliği.

Algoritma Aileleri

1. İstatistiksel Yaklaşımlar

• Z-score: Ortalamadan ± 3 standart sapma. Basit ama dağılım normal olmalı.
• IQR (Interquartile Range): Q1 – 1,5×IQR altı, Q3 + 1,5×IQR üstü.
• Grubbs Test: Tek aykırı için.
• Tukey’s Test: Boxplot’taki uçlar.
• MAD (Median Absolute Deviation): Robust outlier detection.

2. Makine Öğrenmesi Tabanlı

• Isolation Forest: Random forest tabanlı, normal datayı izole etmesi zor. Yaygın baseline.
• One-Class SVM: Sadece “normal” veri ile eğitilir.
• LOF (Local Outlier Factor): Yerel yoğunluk bazlı.
• Elliptic Envelope: Gaussian dağılım varsayar.
• Mahalanobis Distance: Çok değişkenli, korelasyon-aware.
• HBOS (Histogram-Based Outlier Score): Hızlı, açıklanabilir.

3. Derin Öğrenme

• Autoencoder: Normal datayı yeniden inşa et, anormal data yüksek reconstruction error verir.
• Variational Autoencoder (VAE): Probabilistic generative.
• GAN tabanlı (AnoGAN, GANomaly): Generative + discriminative.
• LSTM Autoencoder: Zaman serisi anomaly.
• Transformer-based: 2024-2026 yeni trend (TranAD, Anomaly Transformer).
• Diffusion model tabanlı: 2025 sonrası araştırma, üretim henüz seyrek.

4. Time-Series Spesifik

• Prophet outliers: Trend + sezonsallık modelinden sapma.
• SARIMA residuals: Residual’lar tahminlenenden çok farklı.
• Matrix Profile (STUMPY): Pattern keşfi.
• NeuralProphet anomaly detection: Built-in.
• Foundation model residual: Chronos/TimesFM ile tahmin et, residual’dan anomaly skor.

Üretim Mimarisi

Production-grade anomaly detection sadece “modeli eğit + tahmin üret” değil; streaming ingestion, real-time feature engineering, alert routing, investigation dashboard ve feedback loop’u birlikte ele alan bir sistem. Time-series forecasting rehberimizdeki feature store mimarisi burada da uygulanır — eğitim-serving feature parity şart.

• Streaming ingestion: Kafka / Redis Streams.
• Real-time feature engineering: Flink veya Materialize.
• Model serving: FastAPI / Triton / BentoML.
• Alert routing: PagerDuty, Slack, e-posta.
• Investigation: Dashboard (Grafana, Superset) ile drill-down.
• Feedback loop: Analist “true positive”/”false positive” işaretler, model retrain.
• Alert deduplication: Aynı sebebe bağlı binlerce alarmı tek olay olarak grup.

Senaryo 1: Kredi Kartı Fraud

• Veri: İşlem (tutar, zaman, merchant), kullanıcı geçmişi, cihaz parmak izi.
• Model: Gradient Boosting (XGBoost) + graph features (kullanıcı-merchant grafiği).
• Latency: ≤ 200 ms (kart onayı sürecinde).
• Performans: Recall ≥ %92 (fraud yakalama), False Positive Rate ≤ %0,5 (müşteri rahatsız etmemek).
• İş etkisi: Bir bankada yıllık fraud kaybı 50M TL → AI ile 10-15M’a iner.
• İlgili: Knowledge graph + GNN ile cross-account fraud detection.

Senaryo 2: Sunucu / Uygulama Monitoring

• Veri: CPU, memory, request latency, error rate (saniyede yüzlerce metrik).
• Model: Isolation Forest + seasonal decomposition.
• Tipik araçlar: Datadog Watchdog, Dynatrace, New Relic AI.
• Performans: < 60 saniye tespit gecikmesi, false positive < %5.
• İş etkisi: Planlanmamış kesinti %48 azalır.
• Multi-metric correlation: Tek metrik değil, ilişkili metriklerin birlikte sapması.

Senaryo 3: Üretim Hattı Kalite Kontrol

• Veri: Kameralar, sensörler (sıcaklık, titreşim, basınç).
• Model: CNN-based autoencoder + statistical process control.
• Latency: ≤ 100 ms (üretim hızı).
• Performans: Recall ≥ %99 (defekti kaçırma maliyeti yüksek).
• İş etkisi: Hata oranı %63 azalır.
• İlgili: Computer vision production rehberimizdeki Jetson edge deployment.

Senaryo 4: IoT Sağlık ve Endüstriyel Telemetri

• Veri: Giyilebilir cihaz (kalp atış, oksijen), endüstriyel sensör (vibrasyon, sıcaklık, basınç).
• Model: LSTM autoencoder + per-device personalization.
• Latency: 1-5 saniye (sağlık), < 200 ms (endüstriyel).
• Performans: True positive rate %85+, alarm fatigue kritik.
• İş etkisi: Erken müdahale ile bakım maliyetinde %30-50 azalış, hasta hospitalize riskinde %25 azalış.

Etiketli Veri Yokken: Unsupervised Yaklaşımlar

Çoğu domain’de fraud/anomaly etiketleri çok azdır. Pratik yaklaşımlar:

• Bootstrap: Domain uzmanı manual etiketler 1.000-5.000 örnek.
• Semi-supervised: Az etiketli + çok etiketsiz veriyle eğitim.
• Active learning: Modelin emin olmadığı örnekleri uzman etiketler.
• Synthetic anomaly: Veri augmentation ile sentetik anomali üret.
• Weak supervision: Snorkel benzeri labeling function’ları ile programmatic etiket.

Operasyonel Hedefler

Metrik	Hedef	Yorum
True Positive Rate (Recall)	≥ %85 (kritik domain %95+)	Anomaliyi yakalama oranı
False Positive Rate	≤ %5	Alarm yorgunluğunu engelle
Mean Time to Detect (MTTD)	≤ 60 saniye	Hızlı tespit
Mean Time to Resolve (MTTR)	Domain bağımlı	İncident response süresi
Latency	Real-time ise ≤ 200 ms	İnferans hızı
Alert precision	≥ %70	Gerçek anomali oranı

Türkiye Özelinde Anomaly Detection

• Fintech fraud: BDDK ve TCMB regülasyonu ile real-time fraud detection zorunlu hale geldi 2025’te.
• KVKK uyumluluğu: Anomaly detection için kullanılan profil verilerinin açık rıza gerektirmesi.
• Yerli SaaS pazarı: Logsign, Forcepoint, ManageEngine gibi yerel oyuncular SIEM + anomaly birleşimi sunuyor.
• Bankacılık sektörü: Garanti BBVA, Akbank, İş Bankası iç ekiplerle custom anomaly detection geliştiriyor.
• e-Ticaret: Bot trafiği, fake account, fake review detection — %15-25 trafik filtreleme.

Maliyet ve Süre

Kapsam	Süre	Maliyet (TL)
MVP: Isolation Forest + dashboard	2-3 ay	220.000-400.000
Orta: gradient boosting + real-time	4-7 ay	650.000-1.300.000
Enterprise: deep learning + feedback loop	10-14 ay	1.800.000-3.800.000
Aylık operasyon (streaming + serving)	—	40.000-180.000

Sık Sorulan Sorular

Ömer Önal’dan pratik not: Türkiye’de fintech ve e-ticaret müşterilerimle anomaly detection projelerinde gözlemlediğim en kritik hata, “yüksek recall = iyi model” eşitliği. Recall’ü %95’e çıkardığınızda precision %20’ye düşüyor — yani her gün 100-500 false alarm, ekip 1 hafta sonra alarmları görmezden gelmeye başlıyor. Saha pratiğinde önce cost-weighted F-beta hesaplayın: false negative (kaçırılan fraud) ve false positive (rahatsız edilen müşteri) maliyetlerini gerçek TL ile çarpın, sonra eşiği bu cost’a göre optimize edin. İkinci kritik nokta: bootstrap label’ları olmadan production’a çıkmayın — domain uzmanıyla 2 hafta geçirip 1.000 örnek el etiketleme, sonraki 6 ay model kalitesini %15-25 yukarı çekiyor. Sizin sisteminizde alarm precision oranı şu an ne — yoksa “ekip alarmları kapatıyor” sezgisinde mi yaşıyorsunuz?

Sonuç

Anomaly detection, modern operasyonun güvenlik ağı. Doğru algoritma (Isolation Forest baseline → gradient boosting + feature engineering → deep learning gerektikçe) + üretim mimarisi (streaming + alert + feedback loop) ile fraud kayıpları %70 azalır, planlanmamış kesinti süresi %48 düşer, üretim hattı hata oranı %63 iner. Anomaly pipeline’ınızı time-series forecasting ile birleştirip beklenen vs gerçek farkını ölçebilir, knowledge graph + GNN ile cross-entity ilişki anomalisi yakalayabilir, incident response rehberimizdeki on-call rotation ile alarm yorgunluğunu yönetebilirsiniz. İletişim formundan projeniz için anomaly detection mimari değerlendirme talep edebilirsiniz.

Dış otorite kaynaklar: scikit-learn Outlier Detection · PyOD · Anomaly Transformer (arXiv) · STUMPY Matrix Profile