基于强化学习的基因组数据共享信标动态隐私保护新策略

《Genome Biology》：A reinforcement learning-based approach for dynamic privacy protection in genomic data sharing beacons

【字体： 大 中 小 】 时间：2025年11月25日 来源：Genome Biology 9.4

　　

随着基因组测序技术的飞速发展，海量基因组数据集的可及性大幅提升。然而，个体基因组数据具有唯一标识性，其隐私安全问题日益凸显。全球基因组学与健康联盟(GA4GH)发起的信标(Beacon)项目通过在线查询系统实现隐私保护的数据共享，研究人员可通过简单"是/否"应答查询特定等位基因的存在情况。但研究表明，这种看似安全的协议容易遭受成员推断攻击(membership inference attacks)，攻击者通过查询数百个单核苷酸多态性(SNP)即可推断个体是否参与特定数据集，导致敏感表型信息泄露。

传统防御策略如噪声添加和查询限制依赖静态策略，容易被攻击者绕过。更复杂的是，实际协议工作在在线序列查询环境中，攻击者可随时调整策略，而现有方法大多假设批量查询场景，缺乏动态适应能力。Cho等人虽引入差分隐私(DP)提供理论保证，但显著降低系统效用。张等人提出首个小游戏理论方法，但将每个用户视为潜在攻击者，且计算复杂度高，仅能获得近似最优解。

针对这一挑战，Poorghaffar Aghdam等人创新性地将强化学习(RL)引入基因组信标隐私保护领域。研究团队首先将用户与信标间的交互建模为Stackelberg博弈，更贴合实际序列交互场景。在此基础上，他们训练了通用信标防御器(GBD)和攻击器(GBA)在多智能体环境中对抗学习，使防御系统能实时识别攻击模式，动态调整响应诚实度，在保护参与者隐私的同时维持正常用户的查询效用。

关键技术方法包括：①构建Stackelberg博弈模型处理序列交互；②设计基于TD3算法的信标智能体(连续动作空间)和基于PPO的攻击智能体(离散动作空间)；③使用CEU人群的HapMap数据集(164个个体)进行训练与验证，其中40人为信标参与者，50人为信标控制组，50人为攻击者控制组；④定义隐私风险函数p_i(Q,x,h,C)和效用函数u(Q,h)作为奖励基础；⑤采用中心化环境管理解决多智能体强化学习非平稳性挑战。

Stackelberg防御器有效但扩展性不足

研究首先证明Stackelberg博弈模型能有效设计防御机制，但随着可查询SNP数量、查询次数和策略增加，搜索空间呈指数级增长。实验显示，该系统在超过5次查询或8个可用SNP时变得不可行。与诚实信标相比，Stackelberg防御器能获得更高收益值，显著降低攻击者收益，即使攻击者重新排序查询模仿正常用户行为也能有效防护。

最优信标防御器(OBD)能抵御静态攻击

OBD针对最优攻击策略训练，在保持系统效用的同时，千次查询后仍能保护所有30个潜在受害者，显著优于战略翻转(strategic flipping)等方法(100次查询即失效16人)。

通用信标防御器(GBD)成功抵御泛化攻击

GBD能防御进化攻击，即使面对最强攻击者GBA(可任意排序查询并包含无关SNP)，千次查询仅1人被重新识别，而OBD在200次查询时已失效7人。对战术信标攻击者(TBA)，GBD保持零重新识别记录，OBD失效2人。值得注意的是，GBD对研究ADHD的正常用户保持完全效用，凸显其区分攻击者与合法用户的能力。

与传统方法对比优势明显

与循环神经网络(RNN)基线相比，RL方法能长期规划适应响应，而RNN仅考虑短期序列模式。在线贪心自适应(OG Adaptive)方法在特定场景下表现良好，但面对更强攻击策略时效果下降。研究还模拟了不同风险参数(λ=0.2,0.6,1)的非均匀查询分布，OBD和GBD在所有风险级别均保持高效用。

讨论部分指出，多智能体强化学习面临非平稳性和协调性挑战，研究通过中心化环境管理和共享控制组交互缓解该问题。虽然方法主要针对成员推断攻击，但承认属性推断和基因组重建等攻击也存在风险。与提供理论保证的差分隐私机制相比，该方法在现实假设下提供更高效用，且训练仅需队列统计信息(如MAF和LRT分布)，无需共享个体基因组数据，支持隐私保护的外包训练。

研究局限性包括RL模型可解释性不足，以及训练数据限于CEU人群。但仅需10个训练样本即可泛化到30个无关个体，适应参与者增减。训练仅需数天且可离线进行，种群结构变化时需重新训练。作者假设正常用户提交随机查询，而实际查询模式可能更具针对性，未来需要真实用户查询数据集进一步验证。

这项发表于《Genome Biology》的研究首次将强化学习应用于基因组数据共享信标动态隐私保护，通过多智能体对抗训练实现自适应防御策略，为基因组数据安全共享提供了创新解决方案。该方法不仅能有效抵御最强攻击策略，还能区分正常用户与攻击者，在隐私保护与数据效用间实现最优平衡，对促进基因组数据安全共享具有重要意义。