Sunucu Tarafı İzleme ile Hile ve Manipülasyon Tespiti

Kısa Sahne: Gece 02:14’te Ne Oldu?

Gece vardiyası sessizdi. Grafikte aniden bir sıçrama gördük. Aynı cihaz parmak izi üç farklı hesapla giriş denedi. Beş dakika içinde onlarca para çekme isteği oluştu. IP’ler farklıydı ama ASN aynıydı. Oturumlar yeni, yaşları 2 dakikaydı. Sunucu tarafı izleme olmasa bu tabloyu göremeyecektik. O an bir karar verdik: çekimleri durdur, oturumları yeniden doğrula, istekleri kuyrukla. Zarar büyümedi.

Önce Ne Değil?

Bu yazı istemci tarafı anti-çek (anti-cheat) anlatımı değildir. Tarayıcı eklentisi, oyun içi mod tespiti ya da cihaz üzerinde çalışan koruma katmanı burada konu dışıdır. Ayrıca “sadece ML koy, her şey çözülür” bakışı da değil. İyi izleme; doğru log, açık kurallar, basit istatistik ve ölçülü ML karışımıdır. Kapsamımız sunucu tarafı sinyallerle hile ve manipülasyon tespitidir. Doğru log kapıları için günlükleme en iyi uygulamaları önemlidir.

Terimleri NetleÅŸtirelim

Hile: Sistemi amaç dışı kullanmak. Örnek: bonus avı, hesap ele geçirme, hız limiti delme. Manipülasyon: Piyasa, skor, trafik ya da ölçüm oynama. Örnek: tıklama şişirme, skor botu, referans dolandırma. Sinyal: Karar vermeye yarayan ölçüm ya da olay. Örnek: istek hızı, oturum yaşı, cihaz parmak izi, ASN, coğrafi atlama.

Sinyal Atlası: Hangi Veriler İşe Yarar?

Toplanan veri, net ve eyleme dönük olmalı. Depolama ve işleme planı, bir log yönetimi rehberi ile uyumlu olmalı. Aşağıdaki tablo sahada sık kullandığımız alanları özetler.

ip, asn WAF, API Gateway Kısa sürede çok hesap, tek ASN NAT, kurumsal proxy Hız limitleme, ASN kotası
device_hash Uygulama logu Tek cihaz, çok hesap girişi Aynı aile cihazları Adaptif doğrulama
session_id, session_age_s Auth servisi Yeni oturumda yüksek riskli istek Yoğun kampanya girişi Adım adım doğrulama
request_rate_1m, rps_peak API Gateway Ani hızlanma Doğal trafik dalgası Patika başına oran limiti
geo, last_geo, geo_hop Geo-IP eklentisi Dakikada ülke değişimi VPN, seyahat Çekimde ek doğrulama
payment_attempts_10m Ödeme webhook Kısa sürede kart denemesi Hatalı kart girişi Deneme arası gecikme
failed_logins_5m Auth logu Spray, brute force Parola reset dalgası Geçici kilit, CAPTCHA
latency_p95 APM Bot dalgası, kilitlenme GC, dağıtım Geri basınç, tarpit
server_errors_5m Uygulama logu İstismar denemesi Yeni sürüm hatası Örüntü tabanlı blok
referrer, user_agent Edge logu Başsız tarayıcı izi Eski cihazlar UA doğrulama, kural
withdraw_amount, velocity Finans servisi Kısa sürede yüksek çekim Likidite ihtiyacı Kademe onay, bekletme
ip_reputation Tehdit beslemesi Kötü aktör geçmişi Hatalı etiket Puanlama, ikinci kontrol

Bu sinyaller tek başına hüküm vermez. Güç, bağlam ve korelasyondadır. Bir sinyal “uyarır”, iki sinyal “şüphe” doğurur, üç sinyal “eylem”e gider.

Üç Kısa Vaka: Sahadan

1) Oyun Sunucuları

Takım tabanlı bir oyunda gece anlık öldürme oranı arttı. Yeni hesaplar, düşük seviye, ping normal. Cihaz parmak izi benzer, oturum yaşı 3 dakika. Sunucu taraflı kural kümeleri ile ani skor artışı ve tekrar eden rota tespit edildi. Dinamik ELO donduruldu, hesaplar gözetim kuyruğuna alındı. Bu alanda Valve’ın sunucu taraflı hile önleme yaklaşımları fikir verir.

2) Ödeme/Fintech

Bir cüzdan servisinde kart denemeleri kısa sürede arttı. Aynı ASN’de farklı IP’ler, tek cihaz izi. İki adım: deneme başına gecikme ve 10 dakikada 3 hatada kilit. Çekimlerde yeni oturumlara ek doğrulama. Sonuç: sahte denemeler %37 azaldı, iyi işlemlerde ek sürtünme %3 altında kaldı.

3) Reklam Ağı

Mobil uygulamada tıklama sayısı arttı, ama dönüşüm yok. Aynı cihazlardan günde binlerce tıklama, UA’lar şüpheli. Bot akışını tespit eden kural devreye alındı. “Tek cihaz, kısa süre, yüksek tıklama” kalıbı ile envanter korundu. Google’ın geçersiz trafik kriterleri burada yol gösterir.

4) iGaming Notu

iGaming tarafında bonus suistimali ve hızlı çekim denemeleri sık görülür. Lisanslı, şeffaf platform seçmek hem kullanıcı hem operatör için riski düşürür. Tarafsız inceleme ve lisans kontrolü için el sitio TopCasino gibi bağımsız kaynaklara bakmak yararlıdır. Editoryal not: Bu bağlantı öneri amaçlıdır; seçim ölçütleri lisans, şeffaflık ve sorumlu oyun ilkelerini içerir.

Mimari Akış: Topla → Zenginleştir → Koru → Uyar → Öğren

Olay toplama: API Gateway, WAF, uygulama, veritabanı denetim logları. Zenginleştirme: Geo-IP, ASN, cihaz izi, itibar, kullanıcı profili. Korelasyon: Kural motoru ve akış istatistiği. Uyarı: Risk eşiği ve açıklama. Geri besleme: Doğrulanan olayları etiketle, kuralı düzelt. Bu akış, bot yönetimi ve sinyal birleştirme yaklaşımlarıyla iyi örtüşür.

Algılama Teknikleri: Kural, İstatistik, Akışta ML

Kural tabanlı tespit: Anlaşılır ve hızlıdır. Örnek: “10 dakikada 3 hatalı giriş → geçici kilit.” Artı: açıklanabilir. Eksi: kolay oyunlaştırılır. İstatistik: Z-skor, persentil, oran değişimi. Artı: gürültüye dayanır. Eksi: eşik seçimi zordur. ML (akış): çevrim içi öğrenme, drift takibi, sınırlı özellik seti. Artı: karmaşık örüntü yakalar. Eksi: şeffaflık ve bakım ister. Geniş bir çerçeve için anomali tespiti araştırmaları ve akış verisinde değişim noktası kaynakları değerlidir.

Yanlış Pozitiflerle Mücadele

Eşikler veriye göre ayarlanmalı. Yeni kural önce “gölge mod”da çalıştırılmalı. A/B ile etki ölçülmeli. Alarm metni kısa, net ve sebepli olmalı: “Neden tetiklendi?” açıklaması şart. Ağır eylem (hesap dondurma) yerine kademeli doğrulama tercih edilmeli. Operasyon ekibi alarm yorgunluğu yaşamamalı; SIEM içinde grupla, bastır, birleştir. Örnek uygulamalar için SIEM ile sahtekarlık tespiti yazılarına bakılabilir.

Gizlilik ve Mevzuat

Asgari veri ilkesi: Gerekli olmayan PII toplama. Saklama süresi: Ham log 90 gün, anonim özet 365 gün (kurum politikasına göre). Kullanıcı talepleri: Görüntüleme, silme, itiraz akışı. Sınır ötesi aktarım kuralları. Rehberlik için GDPR yorumları ve rehberler gözden geçirilmeli. KVKK ve yerel kuralları da unutmayın. Bu içerik yalnızca bilgilendirme amaçlıdır; hukuki uyum için yerel mevzuata başvurun.

Operasyon ve Kalite: SLO, Alarm Hijyeni, Döngü

Hizmet hedefleri (SLO): Toplama gecikmesi ≤ 5 sn, uyarı gecikmesi ≤ 30 sn, kural doğruluk hedefi ≥ %95. Alarm hijyeni: Aynı kökten gelen alarmları birleştir, sessiz saat kullan, aksiyon sahibi ata. Sürekli iyileştirme: Her hafta gözden geçirme, ayda bir kural bakımı. Toplanan içgörüleri geri besle. Pratik notlar ve örnekler için alarm hijyeni ve en iyi uygulamalar faydalıdır.

Uygulama: Olay Şeması ve Basit Kural

Algı için açık bir olay şeması gerekir. Aşağıda sade bir JSON örneği var. Kurallar için açık kaynak bir motor ya da SIEM kullanılabilir. Örneğin Elastic’in olay korelasyonu ve kurallar yapısı iyi bir başlangıçtır.

Basit bir korelasyon kuralı aşağıdaki gibi olabilir.

Anti-Paternler: Yapmayın

Karar Ağacı: Ne Zaman Ne Kullanılır?

Mini SSS

S: Sunucu tarafı izleme nedir, istemci tarafı farkı ne?
C: İstemci tarafı cihazda ölçer. Sunucu tarafı, istek ve işlem akışını merkezde ölçer. Güvenilir ve zengin sinyal sağlar.

S: Gerçek zamanlı tespit için kritik metrikler neler?
C: İstek hızı, oturum yaşı, cihaz izi, ASN, coğrafi atlama, hatalı giriş sayısı, çekim hızı.

S: Yanlış pozitifleri nasıl azaltırım?
C: Gölge mod, A/B, açıklama zorunluluğu, kademeli doğrulama, periyodik eşik ayarı.

S: KVKK/GDPR uyumu nasıl korunur?
C: Asgari veri, sınırlı saklama, yetkili erişim, denetim izi, açık aydınlatma ve rıza.

S: ML şart mı?
C: Hayır. Basit kurallar + istatistik çoğu yükü taşır. ML, karmaşık alanlarda fayda sağlar.

Operasyon Notları: Araçlar ve Pratik İpuçları

Kuralları ve akışı bir SIEM’de merkezleyin. Esnek arama ve gösterge ile analizi hızlandırın. Takımınız için öncelik ve sahiplik net olsun. Süreçleri belgeleyin. Denetim izi tutun. Gelişmiş kullanım için olay korelasyonu ve kurallar ve benzeri motorlar iyi bir zemin sunar; satır içi arama ve etiketleme hız kazandırır.

Kapanış

Hile ve manipülasyon, tek bir “gümüş mermi” ile çözülmez. Güçlü bir sinyal seti, temiz log, açıklanır kurallar ve ölçülü ML birleşince risk düşer. Küçük adımlarla başlayın: üç sinyal belirleyin, iki kural yazın, bir hafta gölge modda izleyin. Sonra ayarlayın, ölçün, yineleyin.

Editoryal Not ve Sorumluluk Reddi

Editoryal not: iGaming örneğinde verilen bağlantı öneri niteliğindedir; ortaklık içerebilir. İnceleme ölçütleri arasında lisans durumu, şeffaflık ve sorumlu oyun ilkeleri yer alır. Bu içerik yalnızca bilgilendirme amaçlıdır; hukuki uyum için yerel mevzuata başvurun.

Yazar Hakkında

Yazar: Güvenlik ve Veri Ekipleri (2014’ten beri gerçek zamanlı sahtekarlık tespiti projeleri).
Uzmanlık: Uygulama güvenliği, olay korelasyonu, akış analitiği.
Ä°letiÅŸim: [email protected]

Son güncelleme: Mart 2026

Kaynaklar ve Daha Fazla Okuma