Jeśli witryna jest nieznana, automat pobiera ją i dokonuje analizy. Kluczowymi elementami strony będą próbki treści, na których podstawie można dokonać wstępnej klasyfikacji. Niektóre strony łatwo poddają się automatycznej analizie, dobrym przykładem jest obecność niektórych słów (choćby często pojawiające się słowo „win” pisane dużą, barwną czcionką na stronach związanych z hazardem), szczególnego rodzaju grafiki (pornografia) lub wiele różnych często aktualizowanych treści w obrębie jednej domeny, z różnymi szablonami wyglądu (blogi internetowe, serwisy wiadomości).

Są jednak strony, które wymykają się sztywnym kryteriom automatów, dlatego dostawcy posługują się grupą specjalistów, którzy analizują stronę ręcznie, przeglądając ją.

Kłopotliwa lista adresów

Internet jest dynamicznie rozwijającą się siecią i statyczne narzędzia nie nadążają z jej katalogowaniem oraz ochroną. Nawet jeśli lista jest aktualizowana codziennie (standard dla narzędzi antywirusowych), nadal są strony, których badacze nie odwiedzili i nie skatalogowali. Nie ma zatem dla takich serwisów żadnych reguł, w wielu urządzeniach pojawiają się jako „inne” lub „nieklasyfikowane”. Twórcy polityki bezpieczeństwa mogą zarządzić blokowanie stron, które nie znajdują się w pożądanych kategoriach, ale decyzja taka może mieć istotne skutki biznesowe.

Model statyczny, bazujący na listach adresów www, ma jeszcze inną wadę – słabo zabezpiecza przed szybko zmieniającymi się stronami, które są wektorami ataków dnia zerowego. Witryna udostępniająca niepożądane treści może być utworzona bardzo szybko, jej promocja za pomocą wiadomości e-mail następuje już po chwili. Statyczna lista URL nie da rady prawidłowo zablokować takiego ruchu. Szanse ma automatyczny filtr, który analizuje treść strony za pomocą odpowiedniego zestawu reguł (tak może działać np. DansGuardian), ale nadal skuteczność takich filtrów pozostawia wiele do życzenia. Na nowe zagrożenia najszybciej odpowiada filtr korzystający z klasyfikacji online, działający w modelu cloud computing.