随着物联网（Internet of Thing,IoT）技术的兴起与发展,越来越多的传统设备逐渐实现了网络接入,给人们生活方式带来了改变与便利。但是,由于IoT技术的普及,僵尸网络逐渐开始了对IoT设备的入侵从而在网络空间肆虐。IoT僵尸网络是指被敌手特定恶意软件所劫持的IoT设备集合,该集合在敌手主机的控制下群体性地表现出软件感染、传播以及攻击等恶意行为。由于IoT设备的基数庞大且绝大部分未采取强安全机制,导致IoT僵尸网络所带来的安全危机愈发剧烈。目前,在传统僵尸网络的检测技术已有完备的解决方案,但是IoT设备相比传统设备表现出计算、存储资源匮乏和设备异构性强的特点,传统方法并不完全适用。另一方面,僵尸网络的活动形式主要表现出群体性,使得感染设备之间的网络通信意图必然存在群体性的相似性。因此,本文基于IoT环境下被感染设备的流量通信行为,提出了一种针对受控网络环境中僵尸主机的检测方法。该方法以IoT设备通信网络流作为分析对象,对受控主机相似网络流进行聚合之后构建网络流相似性关系图,利用图卷积神经网络（Graph Convolutional Networks,GCN）对网络流相似性关系图中的主机结点进行分类任务,最终实现检测目的。本文采取了开源数据集对所提出的检测方法进行评估,达到了94.1%的检测率,并分析了该方法在两种不同攻击场景下的健壮性。为了解决IoT设备资源匮乏和异构性强的特点,本工作基于上述方法,提出了云端结合的IoT僵尸网络检测原型系统,其中端系统实现对IoT设备的网络流特提取,云系统完成网络流相似性关系图的构建及图结点分类工作,使用IoT场景下的MQTT（Message Queuing Telemetry Transport）协议实现了云端解耦以适应异构性。