(od gr.heurystyka – odkrywać) – metoda wykrywania nieznanych wirusów na podstawie zachowania się współczesnych zagrożeń, a także hipotez ich rozwoju w przyszłości. Heurystyka polega na sprawdzaniu kodu w pliku (lub innym obiekcie), aby ustalić, czy zawiera on instrukcje typowe dla wirusów. Jeśli liczba takich instrukcji przekroczy predefiniowany próg, plik zostanie oflagowany jako potencjalny wirus, a użytkownik poproszony o przesłanie próbki do dalszej analizy. W ciągu ostatnich lat analiza heurystyczna została ulepszona i daje pozytywne rezultaty w wykrywaniu wielu nowych zagrożeń.
Daje wysokie prawdopodobieństwo wykrycia złośliwego kodu, ale jest zawodna gdy wirus np. staje się aktywny z pewnym opóźnieniem. Analiza heurystyczna generuje też fałszywe alarmy, które mogą być eliminowane m.in. za pomocą tzw. heurystyki negatywnej, wykluczającej istnienie infekcji. Większość producentów oprogramowania antywirusowego wykorzystujących heurystykę zmniejsza jej czułość w celu zminimalizowania ryzyka fałszywego alarmu lub domyślnie ją wyłącza.
Inną wadą heurystyki jest to, że umożliwia ona tylko wyszukiwanie. Aby usunąć złośliwy program, trzeba wiedzieć, jakich zmian dokonał w zainfekowanym obiekcie.