IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する。 
ヒューリスティック法
 ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する場合をこの手法に分類する。「動作の特徴コード」を検出に用いているかどうかが分類の大きな尺度となる。

以下の記事にも書いたが、ヒューリスティック法は静的解析に分類される。
http://sc.seeeko.com/archives/4835235.html

上記の文献には「この検査も、検査対象プログラムを実行せず、ウイルスらしい行動を起こすかどうかをプログラムコードの静的な解析によって判断する」と述べらている。