Algoritmo che analizza il contenuto di ciascun pacchetto di dati che transita attraverso un firewall, in entrata od in uscita, e che stabilisce se sia accettabile o da fermare. All'interno del pacchetto vengono cercate stringhe di byte tipiche di operazioni illecite come un attacco DoS, virus od altro, e viene controllato la congruità del singolo pacchetto con la serie e con il tipo di sessione cui appartiene.