未知マルウェア対策の記事でも書きましたが、過去問(H28SC春午後Ⅱ問2)では、未知マルウェアの入口対策として、「Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策」という記述があります。
サンドボックスとは、砂場という意味です。砂場という囲まれた中でマルウェアを動作させ、そこで、不審な振る舞いをしないのかをチェックします。製品としては、FireEye社のものや、TrendMicro社のDeepDiscovery、ForiGate社のFortiSandboxなどがあります。
情報セキュリティスペシャリスト試験を目指す女性SE  

じゃあ、振る舞い検知とはどう違うのですか?
たしかに、既存のウイルス対策製品であるSymantecやTrendMicroのエンドポイント製品にも、振る舞い検知機能はあります。
サンドボックスは、振る舞い検知などを行う点では同じですが、隔離されたサンドボックス環境を作るのがポイントです。ですから、基本的にはゲートウェイ製品にて実現されます。
ゲートウェイ製品には、WindowsXP、Windows7、Windows8、Linuxなどの異なるOSやブラウザを持つサンドボックスが複数用意され、マルウェアをその中で検査をします。

過去問では、サンドボックスの仕組みに関して、「プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。(H29春SC午前Ⅱ問16)」「不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他の領域に悪影響が及ぶのを防ぐ。(H28秋AP午前問44)」と述べられています。
サンドボックス